Microsoft liet server met wachtwoorden wagenwijd openstaan

microsoft logo

Microsoft heeft opnieuw geen al te beste beurt gemaakt met zijn beveiligingspraktijken. Een interne server met wachtwoorden voor databases bleef maandenlang onbeveiligd.

Een interne server met bedrijfsdata van Microsoft was voor onbekende duur publiekelijk toegankelijk. Op de server stond interne bedrijfsinformatie met betrekking tot de Bing-zoekmachine, maar ook wachtwoorden en sleutels die toegang tot databases en systemen. De server was niet eens met een wachtwoord beveiligd.

Beveiligingsonderzoekers van SOCRadar brachte Microsoft in februari op de hoogte van de onbeveiligde server. Het duurde dan nog een maand voordat Microsoft de deuren toedeed. Het incident kan potentieel nare gevolgen hebben. In principe kon iedereen via het internet toegang krijgen tot de server, maar het is nog niet geweten of dat ook gebeurd is. Verdere datalekken zijn niet uit te sluiten, zegt SOCRadar-onderzoeker Can Yoleri aan TechCrunch.

Opeenstapeling van blunders

Zelfs al volgt er geen nasleep, zal deze blunder de al niet smetteloze reputatie van Microsoft als het aankomt op beveiliging geen deugd doen. Veel bedrijven zijn afhankelijk van de diensten en producten van Microsoft zouden moeten kunnen verwachten dat het bedrijf zijn zaakjes op orde heeft, maar het is in het recente verleden al meer dan één keer misgegaan bij Microsoft.

In 2022 gaf Microsoft per ongeluk interne logingegevens vrij via openbare code op GitHub. Vorig jaar was Microsoft de onbedoelde spilfiguur in een Chinese spionagehack, waarbij hackers in bezit kwamen van een authenticatiesleutel voor mailservers van Microsoft en zo binnen geraakten bij overheidsaccounts. De Amerikaanse overheid wees achteraf in een rapport met beschuldigende vinger naar Microsoft.

Als kers op de beveiligingstaart kreeg Microsoft ook zelf het ongewenste bezoek van Russische hackers. Door die opeenstapelingen van fouten verliezen beveiligingsexperten hoe langer hoe meer het vertrouwen in Microsoft. Het bedrijf lijkt dat ook zelf in te zien en kondigde in november een vernieuwd intern beveiligingsbeleid aan, al zal het ook daad bij het woord moeten voegen.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.