Carrièresite Microsoft kwetsbaar door onbeveiligde database
De carrièresite van Microsoft was kwetsbaar voor aanvallen doordat de database voor heel het internet zonder inloggegevens toegankelijk was. Hierdoor kon een aanvaller willekeurige html-code aan vacatures toevoegen, bijvoorbeeld voor het infecteren van vacaturezoekers met malware of phishingaanvallen.
Het probleem speelde op m.careersatmicrosoft.com, de mobiele website van de carrièresite die door het bedrijf Punchkick Interactive wordt onderhouden. Beveiligingsonderzoeker Chris Vickery ontdekte dat de MongoDB-database van de website geen schrijfbeveiliging had en via het internet voor iedereen toegankelijk was. Daardoor konden aanvallers html-code aan de vacaturepagina's toevoegen. "In dit geval zouden browseraanvallen tegen nietsvermoedende vacaturezoekers kunnen worden uitgevoerd. Het zou ook een fantastische phishingmogelijkheid bieden, aangezien mensen die bij Microsoft willen solliciteren vaak over waardevolle inloggegevens beschikken", stelt Vickery.
De onderzoeker vond in de database ook de naam, e-mailadres, wachtwoordhash en tokens van een Microsoft-marketingmanager. Nadat Microsoft en Punchkick Interactive waren ingelicht werd het probleem verholpen. Vickery heeft in het verleden meerdere problemen met onbeveiligde MongoDB-databases aangetoond, waardoor gegevens van miljoenen mensen via internet toegankelijk waren.
MongoDB is populaire databasesoftware die door allerlei websites en diensten wordt gebruikt, maar doordat tal van organisaties verouderde versies van de software hebben geïnstalleerd zijn de databases voor iedereen toegankelijk. De oudere versies vereisen namelijk geen wachtwoord. Alleen het weten van het ip-adres van de databaseserver is daardoor voldoende. Deze ip-adressen zijn met een zoekmachine als Shodan eenvoudig te vinden.
publiek bereikbaar IP adres zit??? Het wachtwoord maakt dan helemaal niet uit.
Wellicht is de gemiddelde beheerder van zo iets geen groot licht op netwerkgebied... NEXT NEXT NEXT FINISH en
klaar zijn we.
publiek bereikbaar IP adres zit??? Het wachtwoord maakt dan helemaal niet uit.
Wellicht is de gemiddelde beheerder van zo iets geen groot licht op netwerkgebied... NEXT NEXT NEXT FINISH en
klaar zijn we.
Maar alleen dan is het net wel jammer dat de site op Linux icm nginx gehost wordt. Blijkbaar ook nog eens niet achter een goed ingerichte firewall.
Dit bewijst maar weer eens, dat veiligheid van een server afhangt van de beheerder die de server beheerd. En de applicatie beheerders, maar dat is weer een ander verhaal.
Maar alleen dan is het net wel jammer dat de site op Linux icm nginx gehost wordt. Blijkbaar ook nog eens niet achter een goed ingerichte firewall.
O maar daar is het nog erger!!! pakketje installeren en klaar zijn we. firewall optioneel.
Kan allemaal want "Linux is heel veilig" wordt door de meelopers rondgetoeterd, dus degenen die zo iets moeten opzetten
zijn zich van geen kwaad bewust en denken dat ze goed bezig zijn.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
De gebezigde praktijk om Shared accounts met passwords hard coded in config files te zetten is vragen om de hacks. Ooit nagedacht over aanbrengen van stricte scheiding in container filosofie?
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
Natuurlijk niet! Je geeft bij installatie een gebruikersaccount op en indien er dan geen separaat root account is dan zit je achter een 'sudo-wall'. Maar als je dan je wachtwoord op straat legt, tja...
Ik ben "van vroeger" gewend dat je werkt onder een gebruikersaccount en als je dan meer moet doen dan doe je een su
waarvoor je het root wachtwoord moet weten. Echter als je tegenwoordig zo'n systeem installeert kun je overal sudo
voor tikken en dan doet hij het als root, zonder verdere validatie. Ik vind dat slecht, maar kennelijk zijn er goden die er
anders over denken.
Nou, nee: Microsoft heeft onderkend dat hun eigen besturingssysteem voor deze carrière site toepassing ongeschikt is (te licht bevonden).
Dit soort acties zijn bij elk wat groter bedrijf normaal. De interne afdeling zoals een HR komt er niet met de interne ict afdeling of de schaduw (doe het zelf) benadering. Dan vragen ze het aan een externe partij om het te doen. Microsoft als derde partij voor intern Microsoft is nu niet bepaald logisch. HR bandnsite lijkt me nu niet bepaald de Core business van ms.
Je moest eens weten hoeveel echt kritische zaken zo buiten de deur en buiten zicht van het bedrijf gedaan wordt. Bij nogal wat faals en data lekken zie je het tussendoor genoemd worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Specialiseer je in Forensisch ICT
Online informatieavond 19 november
Wil jij je specialiseren in digitaal forensisch onderzoek? Je kennis verbreden en tech-nische vaardigheden ontwikkelen? Ontdek de cursus- en opleidingsmogelijkheden van Hogeschool Leiden:
- Bachelor Informatica Forensisch ICT (deeltijd)
- Master Digital Forensics (vol- en deeltijd)
- Module Mobile Forensics
- Module Data Analytics
Interesse? Meld je aan!
Chief Information Security Officer
Utrecht heeft jou nodig! Als Chief Information Security Officer speel jij een cruciale rol in de bescherming van de digitale informatie van de gemeente Utrecht. Als geen ander weet jij welke dreigingen er zijn en kun je deze vertalen naar risico's die de gemeente en haar inwoners lopen. Solliciteer nu!
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
