Не тільки Apple, Microsoft також залишила ключі від свого королівства відкритими
2 хв. читати
Опубліковано
Поділитися цією статтею
Удосконалити цей посібник
Прочитайте нашу сторінку розкриття інформації, щоб дізнатися, як ви можете допомогти MSPoweruser підтримувати редакційну команду Читати далі
Ми нещодавно публікували на деяка кількість серйозні порушення безпеки від Apple що дасть обізнаним людям легкий доступ до вашого ПК або навіть до дому.
Однак, як це часто буває, це просто спокуслива доля, оскільки виявляється, що Microsoft мала власну дуже серйозну помилку безпеки, і на відміну від Apple, вони дуже повільно реагували на проблему.
ITNews повідомляє tРозробник програмного забезпечення Маттіас Глівка виявив, що Microsoft включила так званий сертифікат безпеки транспортного рівня (TLS), який включав закритий ключ під час налаштування середовища тестування пісочниці для Dynamics 365, менеджера відносин з клієнтами Microsoft і програмного забезпечення для планування ресурсів підприємства. Експортований ключ дозволяв будь-якому хакеру розшифрувати трафік, зашифрований за допомогою цифрових облікових даних, і видати себе за сервер, відкриваючи комунікації клієнтів без виявлення. Він також охоплює всі домени *.sandbox.operations.dynamics.com (навіть для інших компаній), що означає, що сертифікат матиме доступ до всіх середовищ пісочниці Dynamics 365. Пісочниці, які використовуються для тестування, часто містять повне дзеркало кінцевої бази даних.
Звичайно, кожна компанія робить помилки, але повільна реакція Microsoft на цю проблему була частиною, яка була справді невибачною. Gliwka повідомила про вразливість до центру реагування безпеки Microsoft (MSRC) у середині серпня, але Microsoft не вважала, що ця проблема відповідає «плану обслуговування безпеки», оскільки вважала, що зловмиснику потрібні облікові дані адміністратора. Глівка робив подальші спроби до жовтня, коли він публічно запитав Microsoft у Twitter про проблему. Лише тоді йому повідомили, що незабаром це буде виправлено.
Однак, незважаючи на це запевнення, Microsoft не відкликала витік сертифіката Dynamics 365, доки в листопаді не долучилися німецькі ЗМІ, а журналіст не відкрив заявку на систему відстеження помилок Mozilla.
Microsoft завершила вирішення проблеми лише минулого тижня, через 100 днів після першого звіту.
Як зазначалося раніше, кожна компанія робить помилки, але вони перетворюються на помилки лише в тому випадку, якщо ви відмовляєтеся їх виправляти. З огляду на те, що бази даних CRM містять величезну кількість даних, як правило, широкого загалу, таке м’яке ставлення здається досить складним для виправдання, і ми сподіваємося, що компанія зможе стати краще в майбутньому.
Детальніше про проблему читайте на Середній пост Gliwka тут.
