De carrièresite van Microsoft was kwetsbaar voor aanvallen doordat de database voor heel het internet zonder inloggegevens toegankelijk was. Hierdoor kon een aanvaller willekeurige html-code aan vacatures toevoegen, bijvoorbeeld voor het infecteren van vacaturezoekers met malware of phishingaanvallen.
Het probleem speelde op m.careersatmicrosoft.com, de mobiele website van de carrièresite die door het bedrijf Punchkick Interactive wordt onderhouden. Beveiligingsonderzoeker Chris Vickery ontdekte dat de MongoDB-database van de website geen schrijfbeveiliging had en via het internet voor iedereen toegankelijk was. Daardoor konden aanvallers html-code aan de vacaturepagina's toevoegen. "In dit geval zouden browseraanvallen tegen nietsvermoedende vacaturezoekers kunnen worden uitgevoerd. Het zou ook een fantastische phishingmogelijkheid bieden, aangezien mensen die bij Microsoft willen solliciteren vaak over waardevolle inloggegevens beschikken", stelt Vickery.
De onderzoeker vond in de database ook de naam, e-mailadres, wachtwoordhash en tokens van een Microsoft-marketingmanager. Nadat Microsoft en Punchkick Interactive waren ingelicht werd het probleem verholpen. Vickery heeft in het verleden meerdere problemen met onbeveiligde MongoDB-databases aangetoond, waardoor gegevens van miljoenen mensen via internet toegankelijk waren.
MongoDB is populaire databasesoftware die door allerlei websites en diensten wordt gebruikt, maar doordat tal van organisaties verouderde versies van de software hebben geïnstalleerd zijn de databases voor iedereen toegankelijk. De oudere versies vereisen namelijk geen wachtwoord. Alleen het weten van het ip-adres van de databaseserver is daardoor voldoende. Deze ip-adressen zijn met een zoekmachine als Shodan eenvoudig te vinden.
Deze posting is gelocked. Reageren is niet meer mogelijk.