Door Anoniem: Microsoft zegt dus dat hun oath implementatie niet correct valideerd wie de authorisatie doet voor tenminste hun eigen accounts. De 'fout' lijkt niet in de OAuth implementatie te zitten. Het zit in twee aspecten: de OAuth applicaties die toegang hebben tot de zakelijke Microsoft omgeving, en het gebrek aan fundamentele beveiligingsmaatregelen zoals MFA. In de 'test omgeving' had een OAuth applicatie bestaande rechten in de zakelijke Microsoft omgeving. Het is opvallend dat Microsoft geen duidelijke scheiding heeft tussen test en productie-omgevingen. Ook is het opvallend dat er dus geen zicht of controle is op alle third-party applicaties die hoge rechten hebben in de zakelijke Microsoft omgeving. Dat staat los van de OAuth implementatie zelf en zegt vooral iets over de controle die Microsoft heeft op derde partijen die bij Microsoft's zakelijke tenant kunnen. Daarnaast is het opvallend dat er initiële toegang verkregen kon worden tot een account met hoge rechten. Blijkbaar heeft Microsoft ...