Una empresa de ciberseguridad descubrió que los trabajadores de Microsoft cargaron credenciales de inicio de sesión confidenciales en los propios sistemas de Microsoft en GitHub.
Varias personas que parecen ser empleados de Microsoft han expuesto credenciales de inicio de sesión confidenciales a la propia infraestructura de la empresa en GitHub, lo que podría ofrecer a los atacantes una puerta de entrada a los sistemas internos de Microsoft, según una firma de investigación de seguridad cibernética que encontró las credenciales expuestas.
Microsoft confirmó la exposición de datos cuando se contactó con la placa base, Microsoft posee GitHub.
“Seguimos viendo que el código fuente accidental y las filtraciones de credenciales son parte de la superficie de ataque de una empresa, y cada vez es más difícil identificarlos de manera oportuna y precisa. Este es un problema muy desafiante para la mayoría de las empresas en estos días”, dijo Mossab Hussein, director de seguridad de la firma de ciberseguridad spiderSilk, que descubrió el problema, a Motherboard en un chat en línea. SpiderSilk ha descubierto previamente una lista expuesta de canales de Slack pertenecientes a Electronic Arts ; la información personal de los clientes de WeWork cargada por los desarrolladores de WeWork; y que el gigante de la educación Elsevier expuso las contraseñas de los usuarios .
Hussein proporcionó a Motherboard siete ejemplos en total de inicios de sesión de Microsoft expuestos. Todas estas eran credenciales para servidores Azure. Azure es el servicio informático en la nube de Microsoft y es similar a Amazon Web Services. Todas las credenciales expuestas se asociaron con un ID de inquilino oficial de Microsoft. Un ID de inquilino es un identificador único vinculado a un conjunto particular de usuarios de Azure. Uno de los usuarios de GitHub también incluyó a Microsoft en su perfil.
Tres de las siete credenciales de inicio de sesión todavía estaban activas cuando Spidersilk las descubrió, con una aparentemente cargada hace solo unos días al momento de escribir. Los otros cuatro conjuntos de credenciales ya no estaban activos, pero aún así resaltaron el riesgo de que los trabajadores carguen las claves para sistemas internos.
Microsoft se negó a dar más detalles sobre qué sistemas protegían las credenciales cuando Motherboard se lo preguntó varias veces. Pero en términos generales, un atacante puede tener la oportunidad de pasar a otros puntos de interés después de obtener acceso inicial a un sistema interno.
Uno de los perfiles de GitHub con credenciales expuestas y activas hace referencia al repositorio de código Azure DevOps. Destacando el riesgo que pueden representar tales credenciales, en un ataque aparentemente no relacionado en marzo, los atacantes obtuvieron acceso a una cuenta de Azure DevOps y luego publicaron una gran cantidad de código fuente de Microsoft , incluso para Bing y el asistente Cortana de Microsoft.
Con respecto a la nueva exposición de credenciales, un portavoz de Microsoft le dijo a Motherboard en un correo electrónico que “Hemos investigado y tomado medidas para asegurar estas credenciales. Si bien se hicieron públicos inadvertidamente, no hemos visto ninguna evidencia de que se haya accedido a datos confidenciales o que las credenciales se hayan utilizado de manera inapropiada. Continuamos investigando y continuaremos tomando las medidas necesarias para evitar aún más el intercambio involuntario de credenciales”.
Es especialista en ciberseguridad con más de 16 años de experiencia en seguridad de la información. Conoce muy bien la inteligencia de amenazas, la gestión de riesgos, la evaluación de vulnerabilidades y las pruebas de penetración, el análisis forense cibernético y la tecnología de seguridad en la nube (AWS, Azure, Google Cloud). Ocupó varios puestos de investigador de ciberseguridad en diferentes empresas. Tiene experiencia en diferentes industrias como finanzas, atención médica, marketing, gobierno, finanzas turísticas, aerolíneas, telecomunicaciones y biometría.