Thông tin đăng nhập nhạy cảm của một nhóm nhân viên Microsoft đã bất ngờ bị rò rỉ vào cơ sở hạ tầng trực tuyến của chính công ty trên GitHub. Vụ rò rỉ được báo cáo đầu tiên bởi công ty nghiên cứu an ninh mạng spiderSilk, và sau đó đã được phí Microsoft lên tiếng xác nhận.
Theo kết quả điều tra sơ bộ, dữ liệu bị lộ thuộc về các nhân viên của Microsoft trên GitHub. Những dữ liệu này hoàn toàn có khả năng cung cấp cho kẻ tấn công thông tin cần thiết để truy cập vào các hệ thống nội bộ của Microsoft.
Kỹ sư Mossab Hussein, giám đốc công ty an ninh mạng SpiderSilk - đơn vị đầu tiên phát hiện ra vấn đề, cho biết việc xác định kịp thời các tai nạn do rò rỉ mã nguồn và thông tin xác thực ngày càng trở nên khó khăn hơn:
“Chúng tôi thấy rằng mã nguồn ngẫu nhiên và rò rỉ thông tin xác thực là một phần của bề mặt tấn công nhắm vào các tổ chức, doanh nghiệp. Ngày càng khó xác định kịp thời và chính xác hơn đối với hình thức rủi ro này. Đây là một vấn đề thách thức đối với hầu hết các công ty hiện nay".
Trong số thông tin đăng nhập Microsoft bị lộ, đa phần đều là thông tin xác thực cho các máy chủ Azure. Azure là dịch vụ máy tính đám mây của Microsoft, tương tự như Amazon Web Services. Thông tin đăng nhập bị rò rỉ có liên quan đến tenant ID chính thức của Microsoft. Tenant ID về cơ bản là một chuỗi số nhận dạng duy nhất, được liên kết với một nhóm người dùng Azure cụ thể.
Đáng chú ý, một lượng không nhỏ (khoảng một nửa) thông tin đăng nhập vẫn còn hoạt động khi spiderSilk phát hiện ra chúng, với một thông tin dường như được tải lên chỉ vài ngày trước. Số còn lại đã không còn hoạt động, nhưng vẫn làm nổi bật nguy cơ xâm nhập vào các hệ thống nội bộ.
Một trong những hồ sơ GitHub có thông tin xác thực bị rò rỉ và đang hoạt động tạo tham chiếu đến kho lưu trữ mã Azure DevOps. Điều này đã làm nổi bật rủi ro mà các thông tin đăng nhập đó có thể gây ra. Trong một vụ hack dường như không liên quan vào tháng 3, những kẻ tấn công đã giành được quyền truy cập vào tài khoản Azure DevOps, và sau đó phát hành một lượng lớn mã nguồn của Microsoft, bao gồm cả Bing và trợ lý Cortana của Microsoft.
Microsoft từ chối giải thích về hệ thống mà thông tin đăng nhập đang bảo vệ. Cũng chưa rõ liệu có dữ liệu nhạy cảm nào được truy cập từ vụ rò rỉ này không, và công ty đã thực hiện các biện gì để ngăn nguy cơ chia sẻ thông tin xác thực.