Een aanvaller is er vier jaar geleden in geslaagd om toegang te krijgen tot een interne database van Microsoft die informatie over nog ongepatchte kwetsbaarheden in Windows en andere Microsoft-producten bevatte, zo laten vijf voormalige werknemers van Microsoft tegenover Reuters weten.
Microsoft heeft de aanval zelf nooit bekendgemaakt en wilde ook niet tegen Reuters reageren. Volgens de ex-medewerkers bevatte de database informatie over ernstige en ongepatchte kwetsbaarheden in Windows en andere producten. De kwetsbaarheden zouden een aantal maanden na de aanval zijn gepatcht. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt.
Naar aanleiding van de hack zou Microsoft de beveiliging hebben aangescherpt en werd de bugdatabase van het bedrijfsnetwerk afgeschermd. Ook moeten gebruikers zich voortaan twee keer authenticeren. Bugdatabases van softwarebedrijven zijn zeer waardevol voor aanvallers, omdat die zo gebruikers via nog ongepatchte kwetsbaarheden kunnen aanvallen. Of dergelijke databases vaker het doelwit van aanvallers zijn is onduidelijk. Slechts één groot softwarebedrijf heeft een dergelijke aanval ooit geopenbaard.
In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen. De aanvaller wist toegang tot Bugzilla te krijgen omdat een gebruiker met toegang tot de database zijn wachtwoord op een andere website had hergebruikt. Deze niet nader genoemde website werd gehackt, waardoor het wachtwoord uiteindelijk in handen van de aanvaller kwam die zo toegang tot het Bugzilla-account van deze gebruiker wist te krijgen.
Deze posting is gelocked. Reageren is niet meer mogelijk.