Uma falha de segurança significativa foi descoberta em um dos servidores da Microsoft, resultando na exposição pública de credenciais de acesso de colaboradores da empresa.
A vulnerabilidade veio à tona graças ao trabalho de pesquisadores da SOCRadar, uma firma especializada em cibersegurança.
As informações divulgadas revelam que o servidor afetado, hospedado na plataforma Azure, continha uma grande quantidade de dados sensíveis, incluindo códigos-fonte, scripts e arquivos de configuração de diversos projetos internos.
Notavelmente, diversos desses documentos continham chaves de acesso ao Bing, o motor de busca da Microsoft que atualmente integra funcionalidades de inteligência artificial, como o Copilot.
Os arquivos comprometidos abrangiam uma série de informações críticas, tais como logins, senhas, chaves de acesso e outras credenciais necessárias para o acesso autorizado aos sistemas mencionados.
Tal servidor estava erroneamente configurado como público, o que significa que não estava adequadamente protegido por senhas, permitindo o acesso irrestrito a qualquer pessoa que possuísse o URL correto.
Esse tipo de configuração abriu uma brecha para que invasores potencialmente roubassem essas credenciais, com o intuito de acessar outros servidores da Microsoft ou divulgar essas informações sensíveis.
A Microsoft só veio a corrigir a falha após ser alertada pelos especialistas da SOCRadar no início de fevereiro; a correção foi implementada cerca de um mês após o aviso inicial.
Não está claro por quanto tempo os dados ficaram vulneráveis a exposição, nem se alguma parte mal-intencionada conseguiu acessar essas informações.
Quando procurada pela equipe do TechCrunch para comentar sobre o incidente, a empresa optou por não emitir uma declaração oficial.
Recentemente, a Microsoft enfrentou outros desafios relacionados à segurança em diferentes divisões.
Há algumas semanas, foi descoberta e posteriormente corrigida uma vulnerabilidade no navegador Edge.
Além disso, no começo do ano, a empresa confirmou ter sido vítima de um ataque perpetrado pelo grupo de cibercriminosos conhecido como Midnight Blizzard, durante o qual uma quantidade limitada de e-mails corporativos foi acessada, incluindo possivelmente informações críticas e anexos.
Publicidade
Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...