微軟前不久才因自家 Exchange Online 遭駭導致美國政府郵件系統被入侵,被美國網路安全審查委員會(US Cyber Safety Review Board)嚴厲抨擊。如今,微軟再度因為某 Azure 專用伺服器毫無密碼保護,讓微軟員工個資安全成為媒體新焦點。
微軟近年網路安全事件頻傳,2022 年爆發敏感登錄憑證被自己員工上傳到 GitHub 的荒唐事件。2023 年夏季,Exchange Onlie 被中國駭客入侵,存取美國政府電子郵件系統。4 月初,美國網路安全審查委員會發表審查報告,微軟本可避免自家軟體被駭,全因發展出「不重視企業安全投資和嚴格風險管理的企業文化」。
一連串事件似乎仍未喚醒微軟對網路安全的「重視」。網路安全公司 SOCRadar 三名安全研究人員發現,一台專門存放與微軟 Bing 搜尋引擎敏感資料的 Azure 伺服器竟然沒有任何密碼保護,任何人都可存取。
伺服器儲存許多程式碼、腳本與配置檔,含微軟員工存取其他資料庫與系統的密碼、金鑰與憑證,等於毫無保護完全曝露於公開網路。
更令人擔憂的是,駭客有可能利用這些資料,找出並存取微軟儲存重要檔案的其他區域,引發更大規模資料外洩,甚至讓服務遭更多入侵與劫持。
SOCRadar 安全研究人員 2 月 6 日通報微軟,微軟也餘 3 月 5 日加強保護措施。但不清楚伺服器處於毫無密碼保護狀態持續多久,也不清楚是否有其他安全研究員或攻擊者發現這安全疏忽與漏洞。
(首圖來源:微軟)
科技新報粉絲團
加入好友
訂閱免費電子報
