Microsoft 직원이 GitHub를 통해 실수로 내부 자격 증명을 유출했습니다.

Microsoft 직원은 회사의 온라인 인프라에 로그인하기 위해 중요한 자격 증명을 제공했습니다. 이 유출은 사이버 보안 연구 회사인 SpiderSilk 에서 처음 보고 했으며 나중에 Microsoft에서 확인했습니다. 기사에 따르면 공개된 데이터는 GitHub 직원이 제공한 것입니다.

문제를 발견한 사이버 보안 회사 SpiderSilk의 보안 이사인 Mossab Hussein은 Vice와의 인터뷰에서 소스 코드 충돌과 자격 증명 누출을 적시에 감지하는 것이 점점 더 어려워지고 있다고 말했습니다. 그는 말했다 :

“소스 코드와 자격 증명의 우발적인 유출이 회사의 공격 표면의 일부이며 시기 적절하고 정확한 방식으로 식별하기가 점점 더 어려워지고 있음을 계속 확인하고 있습니다. 이것은 오늘날 대부분의 회사에 매우 어려운 문제입니다.”

Microsoft의 클라우드 컴퓨팅 서비스인 Azure는 Amazon Web Services와 유사합니다. 자격 증명 누출은 공식 Microsoft 클라이언트 ID와 관련되었습니다. 테넌트 ID는 특정 Azure 사용자 집합과 연결된 고유 식별자입니다.

마이크로소프트는 여러 차례 질문을 받았을 때 어떤 시스템이 자격 증명을 보호하는지 자세히 설명하는 것을 거부했다고 바이스는 말했다. 이 유출로 인해 민감한 데이터에 대한 접근이 불가능했고 회사는 자격 증명 공유를 방지하기 위해 보다 안전한 조치를 취했습니다.

출처: 바이스