Reuters: Aanvaller had toegang tot Microsoft-bugdatabase
Een aanvaller is er vier jaar geleden in geslaagd om toegang te krijgen tot een interne database van Microsoft die informatie over nog ongepatchte kwetsbaarheden in Windows en andere Microsoft-producten bevatte, zo laten vijf voormalige werknemers van Microsoft tegenover Reuters weten.
Microsoft heeft de aanval zelf nooit bekendgemaakt en wilde ook niet tegen Reuters reageren. Volgens de ex-medewerkers bevatte de database informatie over ernstige en ongepatchte kwetsbaarheden in Windows en andere producten. De kwetsbaarheden zouden een aantal maanden na de aanval zijn gepatcht. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt.
Naar aanleiding van de hack zou Microsoft de beveiliging hebben aangescherpt en werd de bugdatabase van het bedrijfsnetwerk afgeschermd. Ook moeten gebruikers zich voortaan twee keer authenticeren. Bugdatabases van softwarebedrijven zijn zeer waardevol voor aanvallers, omdat die zo gebruikers via nog ongepatchte kwetsbaarheden kunnen aanvallen. Of dergelijke databases vaker het doelwit van aanvallers zijn is onduidelijk. Slechts één groot softwarebedrijf heeft een dergelijke aanval ooit geopenbaard.
In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen. De aanvaller wist toegang tot Bugzilla te krijgen omdat een gebruiker met toegang tot de database zijn wachtwoord op een andere website had hergebruikt. Deze niet nader genoemde website werd gehackt, waardoor het wachtwoord uiteindelijk in handen van de aanvaller kwam die zo toegang tot het Bugzilla-account van deze gebruiker wist te krijgen.
En mocht dat onverhoopt toch gebeuren, dan is het natuurlijk ondenkbaar dat die hackers (of andere onverlaten waar ze deze gegevens aan verkopen), daar misbruik van maken - bijv. vanwege bekende kwetsbaarheden daarin.
Of?
....
Of?
Eerste probleem is visie van informatieveiligheid daarvoor moet hè niet bij os Nerds zijn. Wat dat betreft is ms mogelijk beter te vertrouwen dan Amazon google Facebook en anderen.
Kijk ik wat andere berichten na. Zie ik genoemd worden dat Apple Facebook en Twitter ook onderuit zijn gegaan. Het weglaten van zoiets is niet handig.
https://www.google.nl/amp/s/www.pcworld.com/article/2945632/hacker-group-that-hit-twitter-facebook-apple-and-microsoft-intensifies-attacks.amp.html
Je krijgt nu een verhaal van voormalige interne meedwerkers die interne informatie naar buiten brengen.
Als een voormalig intern beheerder de boel onklaar maakt is dat duidelijk fout. Waar ligt de grens van iets wat voor de buitenwereld nuttig is en wat als wraak te zien is?
Overigens slechte beveiliging is eerder standaard dan uitzondering. Ik heb nog nergens gezien waar de boel echt op orde is. Besef security is een kostenpost waar je makkelijk op kunt bezuinigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
