微软员工在 GitHub 上意外暴露内部登录凭证

根据网络安全研究公司 spiderSilk 报告，多名来自微软的员工在 GitHub 上暴露了自己在公司内部的敏感登录凭证，为攻击者提供了可能进入微软内部系统的途径。

据 Vice 报道，该漏洞首先由网络安全研究公司 spiderSilk 报告。spiderSilk 在此次安全事件中总共发现了 7 个暴露的微软内部登陆凭证，所有这些都是 Azure 服务器的凭证。其中有 3 个仍处于激活状态，虽然其他 4 个凭证不再处于活跃状态，但仍然凸显了员工意外上传内部系统凭证的风险。

随后微软证实暴露了内部登陆凭证，但微软拒绝详细说明凭据正在保护哪些系统。一般来说，攻击者在获得对内部系统的初始访问权限后，可能有机会转移到其他“兴趣点”。在今年 3 月份的一次黑客攻击中，攻击者就曾获得了对 Azure DevOps 账户的访问权，然后窃取了约 40GB 的微软源代码，其中包括 Bing 和微软的 Cortana 助手的相关代码。但微软表示此次泄漏并未访问任何敏感数据，该公司已采取更安全措施来防止凭证共享。

发现该问题的网络安全公司 SpiderSilk 首席安全官 MossabHussein 表示，源代码和凭证泄露导致的事故变得越来越多，提前识别越来越困难。他说：“我们继续观察到意外的源代码和凭证泄露是公司攻击面的一部分，并且越来越难以及时准确地识别出来。这对当今大多数公司来说都是非常具有挑战性的问题。”