לא רק אפל- מיקרוסופט גם השאירה את המפתחות לממלכה שלהם חשופים

פרסמנו לאחרונה ב מספר התעללות ביטחונית רצינית מאת אפל מה שייתן לאנשים בעלי ידע גישה קלה למחשב האישי שלך או אפילו לבית.

כפי שקורה לעתים קרובות, זה רק מפתה את הגורל עם זאת, כפי שמסתבר שלמיקרוסופט הייתה חבילת אבטחה רצינית מאוד משלה, ובניגוד לאפל הם היו מאוד איטיים להגיב לבעיה.

ITNews מדווח tמפתח התוכנה Matthias Gliwka גילה שמיקרוסופט כללה מה שנקרא תעודת אבטחת שכבת תחבורה כללית (TLS) הכוללת מפתח פרטי בעת הגדרת סביבת בדיקת ארגז חול עבור Dynamics 365, מנהל קשרי הלקוחות של מיקרוסופט ותוכנת Enterprise Resource Planning. המפתח בעת ייצוא איפשר לכל האקר לפענח תעבורה מקושקשת עם האישורים הדיגיטליים ולהתחזות לשרת, תוך חשיפת תקשורת לקוחות מבלי להתגלות. זה גם כיסה את כל הדומיינים *.sandbox.operations.dynamics.com (אפילו לחברות אחרות), כלומר לאישור תהיה גישה לכל סביבות ארגז החול של Dynamics 365. ארגזי חול, המשמשים לבדיקה, מכילים לרוב שיקוף מלא של מסד הנתונים הסופי.

כמובן, כל חברה עושה טעויות, אבל התגובה האיטית של מיקרוסופט לנושא הייתה החלק שבאמת היה בלתי נסלח. גליוקה דיווחה על הפגיעות למרכז התגובה האבטחה של מיקרוסופט (MSRC) באמצע אוגוסט, אך מיקרוסופט לא חשבה שהבעיה עומדת ב"רף לשירותי אבטחה", מכיוון שהיא האמינה שתוקף ידרוש אישורי מנהל. גליוקה עשה ניסיונות נוספים עד אוקטובר, אז שאל בפומבי את מיקרוסופט בטוויטר על הבעיה. רק אז נאמר לו שזה יתוקן בקרוב.

עם זאת, למרות הבטחה זו, מיקרוסופט לא ביטלה את תעודת Dynamics 365 שדלפה עד שהתקשורת הגרמנית הייתה מעורבת בנובמבר, ועיתונאי פתח כרטיס במערכת מעקב הבאגים של מוזילה.

מיקרוסופט סיימה לפתור את הבעיה רק ​​בשבוע שעבר, 100 ימים שלמים לאחר הדיווח הראשון.

כאמור, כל חברה עושה טעויות, אבל הן הופכות לטעויות רק אם מסרבים לתקן אותן. בהתחשב בכך שמסדי נתונים של CRM מכילים כמות עצומה של נתונים, בדרך כלל של הציבור הרחב, גישה רופסת כזו נראית קשה לתרץ, ואנו מקווים שהחברה תוכל לעשות זאת טוב יותר בעתיד.

קרא פרטים נוספים על הנושא בכתובת הפוסט הבינוני של גליוקה כאן.