Microsoft-Mitarbeiter posten Login-Daten versehentlich auf GitHub

Christian Kahle, 17.08.2022 10:51 Uhr
Microsoft gibt Nutzern gern mal Ratschläge, wie sie sich vor Angreifern schützen können. Dabei täte das Unternehmen gut daran, diese grundlegenden Tipps auch den eigenen Mitarbeitern zukommen zu lassen - denn diese posteten sensible Logins auf GitHub. Gleich mehrere entsprechende Fälle wurden kürzlich von der Sicherheitsfirma SpiderSilk ausfindig gemacht. Die sieben Login-Token eröffneten allesamt Zugänge zu Teilen der Azure-Infrastruktur Microsofts, wie Mossab Hussein, Chief Security Officer des Unternehmens, erklärte. Vier von ihnen waren beim Zeitpunkt des Fundes allerdings schon nicht mehr aktiv, in drei Fällen war der Zugang aber noch möglich.

Microsoft bestätigte das Problem gegenüber dem US-Magazin Motherboard. Allerdings ging man seitens des Konzerns nicht näher darauf ein, welche Systeme mit den Login-Daten geöffnet werden konnten. Letztlich spielt dies auch nur eine untergeordnete Rolle. Denn potenzielle Angreifer nutzen solche Zugänge ohnehin vor allem, um von einem Rechner innerhalb des Firmennetzwerkes ausgehend weitere interessante Ziele zu suchen.

Großes Schadenspotenzial

Eines der GitHub-Profile mit offengelegten und aktiven Anmeldeinformationen verwies allerdings laut Hussein auf das Azure DevOps Code Repository. Dieses bietet durchaus auch direkt ein interessantes Potenzial für Angreifer. Das zeigte auch ein zurückliegender Vorfall, bei dem sich Angreifer im März Zugang zu einem Azure DevOps-Konto verschafften und anschließend umfangreiche Quellcodes Microsofts veröffentlichten.

"Wir haben die Angelegenheit untersucht und Maßnahmen ergriffen, um diese Zugangsdaten zu sichern. Obwohl sie versehentlich öffentlich gemacht wurden, haben wir keine Belege dafür gesehen, dass auf sensible Daten zugegriffen wurde oder die Zugangsdaten missbräuchlich verwendet wurden. Wir untersuchen die Angelegenheit weiter und werden auch weiterhin die notwendigen Schritte unternehmen, um die versehentliche Weitergabe von Zugangsdaten zu verhindern", hieß es in einer Stellungnahme Microsofts.

Siehe auch:
Kommentare lesen & antworten
Folge WinFuture auf Google News
Verwandte Themen
Microsoft Corporation Open Source
Desktop-Version anzeigen
Hoch © 2022 WinFuture Impressum Datenschutz Cookies