Brecha de Segurança Expõe Senhas de Funcionários da Microsoft
11 de Abril de 2024

Uma falha de segurança significativa foi descoberta em um dos servidores da Microsoft, resultando na exposição pública de credenciais de acesso de colaboradores da empresa.

A vulnerabilidade veio à tona graças ao trabalho de pesquisadores da SOCRadar, uma firma especializada em cibersegurança.

As informações divulgadas revelam que o servidor afetado, hospedado na plataforma Azure, continha uma grande quantidade de dados sensíveis, incluindo códigos-fonte, scripts e arquivos de configuração de diversos projetos internos.

Notavelmente, diversos desses documentos continham chaves de acesso ao Bing, o motor de busca da Microsoft que atualmente integra funcionalidades de inteligência artificial, como o Copilot.

Os arquivos comprometidos abrangiam uma série de informações críticas, tais como logins, senhas, chaves de acesso e outras credenciais necessárias para o acesso autorizado aos sistemas mencionados.

Tal servidor estava erroneamente configurado como público, o que significa que não estava adequadamente protegido por senhas, permitindo o acesso irrestrito a qualquer pessoa que possuísse o URL correto.

Esse tipo de configuração abriu uma brecha para que invasores potencialmente roubassem essas credenciais, com o intuito de acessar outros servidores da Microsoft ou divulgar essas informações sensíveis.

A Microsoft só veio a corrigir a falha após ser alertada pelos especialistas da SOCRadar no início de fevereiro; a correção foi implementada cerca de um mês após o aviso inicial.

Não está claro por quanto tempo os dados ficaram vulneráveis a exposição, nem se alguma parte mal-intencionada conseguiu acessar essas informações.

Quando procurada pela equipe do TechCrunch para comentar sobre o incidente, a empresa optou por não emitir uma declaração oficial.

Recentemente, a Microsoft enfrentou outros desafios relacionados à segurança em diferentes divisões.

Há algumas semanas, foi descoberta e posteriormente corrigida uma vulnerabilidade no navegador Edge.

Além disso, no começo do ano, a empresa confirmou ter sido vítima de um ataque perpetrado pelo grupo de cibercriminosos conhecido como Midnight Blizzard, durante o qual uma quantidade limitada de e-mails corporativos foi acessada, incluindo possivelmente informações críticas e anexos.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...