Nu doar Apple, ci și Microsoft a lăsat la vedere și cheile regatului lor
2 min. citit
Publicat în data de
Distribuiți acest articol
Îmbunătățiți acest ghid
Citiți pagina noastră de dezvăluire pentru a afla cum puteți ajuta MSPoweruser să susțină echipa editorială Află mai multe
Am postat recent pe un număr de probleme serioase de securitate de Apple ceea ce ar oferi oamenilor cunoștințe acces ușor la computerul dvs. sau chiar acasă.
Așa cum este adesea cazul, care este doar tentant soarta, deoarece se dovedește că Microsoft avea propria sa greșeală de securitate foarte serioasă și, spre deosebire de Apple, au răspuns foarte lent la această problemă.
ITNews relatează tDezvoltatorul de software hat Matthias Gliwka a descoperit că Microsoft a inclus un așa-numit certificat de securitate pentru stratul de transport (TLS) care includea o cheie privată la configurarea unui mediu de testare sandbox pentru Dynamics 365, Managerul de relații cu clienții Microsoft și software-ul de planificare a resurselor întreprinderii. Atunci când a fost exportată, cheia permitea oricărui hacker să decripteze traficul amestecat cu acreditările digitale și să uzurpare identitatea serverului, expunând comunicările clienților fără a fi detectat. De asemenea, a acoperit toate domeniile *.sandbox.operations.dynamics.com (chiar si pentru alte companii), ceea ce înseamnă că certificatul ar avea acces la toate mediile Dynamics 365 sandbox. Sandbox-urile, folosite pentru testare, conțin adesea o oglindă completă a bazei de date finale.
Desigur, fiecare companie face greșeli, dar răspunsul lent al Microsoft la această problemă a fost partea care a fost cu adevărat de neiertat. Gliwka a raportat vulnerabilitatea centrului de răspuns de securitate al Microsoft (MSRC) la mijlocul lunii august, dar Microsoft nu credea că problema a îndeplinit „bara pentru servicii de securitate”, deoarece credea că un atacator va avea nevoie de acreditări de administrator. Gliwka a făcut noi încercări până în octombrie, când a întrebat public Microsoft pe Twitter despre problemă. Abia atunci i s-a spus că va fi reparat în curând.
Cu toate acestea, în ciuda acestei asigurări, Microsoft nu a revocat certificatul Dynamics 365 scurs până când presa germană s-a implicat în noiembrie, iar un jurnalist a deschis un bilet pe sistemul de urmărire a erorilor Mozilla.
Microsoft a terminat de rezolvat problema abia săptămâna trecută, la 100 de zile după primul raport.
După cum am menționat mai devreme, fiecare companie face erori, dar acestea se transformă în greșeli doar dacă refuzați să le remediați. Având în vedere că bazele de date CRM conțin o cantitate uriașă de date, de obicei ale publicului larg, o atitudine atât de laxă pare destul de greu de scuzat și sperăm că compania poate face mai bine în viitor.
Citiți mai multe detalii despre problemă la Postarea medie a lui Gliwka aici.
