Microsoft хранила пароли и данные сотрудников в открытом доступе

Проблему обнаружили специалисты ИБ-компании SOCRadar. Оказалось, что на публичном сервере в облаке Microsoft Azure лежала конфиденциальная информация, связанная с поисковиком Bing. В том числе код, скрипты и файлы конфигурации с паролями, а также ключи и учётные данные, используемые сотрудниками Microsoft для доступа ко внутренним базам данных и системам.

При этом сам сервер не был защищён паролем, а доступ к нему мог получить любой пользователь интернета.

В SOCRadar отмечают, что эти данные могли быть использованы злоумышленниками для поиска и доступа к другим уязвимым хранилищам внутренних файлов Microsoft. Это могло бы привести к ещё более серьёзным утечкам и компрометации действующих сервисов.

Исследователи сообщили Microsoft о находке 6 февраля. Сервер был заблокирован 5 марта. Как долго он оставался во всеобщем доступе, неизвестно — как и то, узнал ли кто-то ещё про оплошность редмондской компании, кроме SOCRadar, прежде чем она была исправлена.