База Microsoft Careers могла быть скопирована или изменена
2470
Независимы эксперт по информационной безопасности Крис Викери (Chris Vickery) обнаружил серьезную проблему в безопасности базы данных сайта Microsoft Careers. Это произошло из-за плохой настройки MongoDB, которая обслуживается для Microsoft компанией Punchkick Interactive. Странно, что такой технологический гигант не в состоянии сам обеспечить работоспособность собственного сайта по подбору персонала.
Конфиденциальные данные могли попасть в руки злоумышленников, либо могли быть изменены. В доказательство обнаруженной проблемы Крис отправил в корпорацию имя, email адрес, хэш пароля и токены менеджера Microsoft Global Employment Кэрри Шепро (Karrie Shepro). Надо отметить, что уже через час ошибка в настройке была устранена, но сколько данная уязвимость имелась у сайта неизвестно.
В данном случае инцидент демонстрирует конечно же серьезную проблему в компетентности подрядчика корпорации из-за которого огромная база могла быть скомпрометирована и использована в своих целях злоумышленниками. Такие инциденты происходят иногда из-за неосторожности или невнимательности администраторов БД, что вероятно и произошло.
Сейчас практически все, что существует так или иначе производится с использованием глобальной сети Интернет, в том числе и поиск работы и подбор персонала, что конечно же в итоге серьезно повышает эффективность взаимодействия сокращая сроки и расходы. Те же электронные торги в России проходят через глобальную сеть, где для участия в них требуется изготовление ЭЦП для электронных торгов, чтобы свести к минимум возможные неправомерные действия злоумышленниками, но безопасность в сети может быть снижена мгновенно из-за одной ошибки администратора или программиста.
В целом, с учетом грядущего распространения Интернета вещей, корпорациям еще только предстоит выработать новые подходы в безопасности, так как в противном случае, при возникновении одной ошибки под угрозой могут оказаться миллионы и миллиарды устройств, что конечно же не выгодно ни пользователям, ни компаниям, а уж тем более государственным структурам.
Комментарии
По теме
- Вышли июньские обновления безопасности продуктов Microsoft
- Windows Defender будет блокировать вредоносные драйверы
- Microsoft выпустила очередные обновления безопасности для своих продуктов
- Слух: Минцифры думает над легализацией нелицензионной Windows
- Запущено тестирование единой службы Microsoft Defender для Windows и Android
- Новые патчи безопасности: исправлено 60 уязвимостей
- Исследователи безопасности подтверждают сокращение вознаграждений от Microsoft
- Уязвимость и эксплойт для Windows "PrintNightmare" оказались более опасны
- Microsoft выпустила новые накопительные обновления безопасности Windows 10
- Microsoft вместе с McAfee возглавила рабочую группу по борьбе с "шифровальщиками"