Niet alleen Apple, Microsoft liet ook de sleutels van hun koninkrijk bloot
2 minuut. lezen
Uitgegeven op
deel dit artikel
Verbeter deze handleiding
Lees onze openbaarmakingspagina om erachter te komen hoe u MSPoweruser kunt helpen het redactieteam te ondersteunen Lees meer
We hebben onlangs gepost op een aantal serieus beveiligingsprobleem door Apple die goed geïnformeerde mensen gemakkelijk toegang zouden geven tot uw pc of zelfs thuis.
Zoals vaak het geval is, is dat echter gewoon een verleidelijk lot, want het blijkt dat Microsoft zijn eigen zeer ernstige beveiligingsprobleem had, en in tegenstelling tot Apple reageerden ze erg traag op het probleem.
ITNews meldt tHat-softwareontwikkelaar Matthias Gliwka ontdekte dat Microsoft een zogenaamd TLS-certificaat (Transport Layer Security) met een jokerteken had meegeleverd met een privésleutel bij het opzetten van een sandbox-testomgeving voor Dynamics 365, Microsoft's Customer Relationship Manager en Enterprise Resource Planning-software. Door de sleutel te exporteren, kon elke hacker verkeer ontsleutelen dat versleuteld was met de digitale referentie en zich voordoen als de server, waardoor de communicatie met de klant zichtbaar werd zonder te worden gedetecteerd. Het omvatte ook alle *.sandbox.operations.dynamics.com-domeinen (ook voor andere bedrijven), wat betekent dat het certificaat toegang zou hebben tot alle Dynamics 365-sandboxomgevingen. Sandboxen, die voor het testen worden gebruikt, bevatten vaak een volledige spiegel van de uiteindelijke database.
Natuurlijk maakt elk bedrijf fouten, maar de trage reactie van Microsoft op het probleem was het deel dat echt onvergeeflijk was. Gliwka meldde de kwetsbaarheid medio augustus aan het Security Response Center (MSRC) van Microsoft, maar Microsoft dacht dat het probleem niet voldeed aan "de lat voor beveiligingsservices", omdat het geloofde dat een aanvaller beheerdersreferenties nodig zou hebben. Gliwka deed verdere pogingen tot oktober, toen hij Microsoft op Twitter publiekelijk naar het probleem vroeg. Pas toen kreeg hij te horen dat het snel zou worden opgelost.
Ondanks deze verzekering trok Microsoft het gelekte Dynamics 365-certificaat echter pas in in november toen Duitse media erbij betrokken raakten en een journalist een ticket opende op Mozilla's bugtrackersysteem.
Microsoft heeft het probleem pas vorige week opgelost, 100 dagen na het eerste rapport.
Zoals eerder vermeld, maakt elk bedrijf fouten, maar die worden pas fouten als je weigert ze te herstellen. Aangezien CRM-databases een enorme hoeveelheid gegevens bevatten, meestal van het grote publiek, lijkt een dergelijke lakse houding nogal moeilijk te verontschuldigen, en we hopen dat het bedrijf het in de toekomst beter kan doen.
Lees meer details over het probleem op: Gliwka's Medium bericht hier.
