Užpakalinėje duomenų bazėje, palaikančioje „Microsoft“ karjeros puslapį, buvo prasti saugos nustatymai, dėl kurių užpuolikai galėjo keisti duomenų bazės darbų sąrašo puslapius. [Atnaujinta]
Saugumo gedimai, susieti su MongoDB duomenų baze, dėl kurios „Microsoft“ mobiliojo karjeros puslapis buvo užpultas, buvo greitai pataisytos.
Į „MacKeeper“ tinklaraščio įrašas, saugos komanda teigė, kad MongoDB duomenų bazė gali būti pažeidžiama ir galėjo teikti savavališką HTML per mobiliąją „Microsoft“ karjeros puslapis.
Trečiosios šalies teikėjas, kurį Redmondo milžinas naudoja tvarkydamas karjeros puslapio duomenų bazę Punchkick Interactive, mobiliosios programėlės ir žiniatinklio kūrimo paslaugų teikėjas, atsakingas už duomenų bazės saugos nustatymų nustatymą.
Problema slypi PunchKick-ran MongoDB duomenų bazės apsaugoje. Pati duomenų bazė nebuvo apsaugota nuo rašymo, todėl užpuolikams buvo suteikta galimybė modifikuoti duomenų bazės duomenis ir bet kokius HTML pagrindu veikiančius darbo sąrašo puslapius, teikiamus mobiliajame „Microsoft“ karjeros puslapyje.
Tai ne tik gali sukelti atakas, bet naršyklės išnaudojimus ir sukčiavimo kampanijas taip pat gali padėti darbo ieškantiems asmenims. Be to, buvo atskleisti su duomenų baze susietų „Microsoft“ darbuotojų įgaliojimai.
Saugumas
- 8 labai saugių nuotolinių darbuotojų įpročiai
- Kaip rasti ir pašalinti šnipinėjimo programas iš savo telefono
- Geriausios VPN paslaugos: kaip palyginti 5 geriausius?
- Kaip sužinoti, ar esate susijęs su duomenų pažeidimu – ir ką daryti toliau
„Microsoft“ nebuvo vienintelė įmonė, kurią galėjo paveikti autentifikavimo klaida. Atskleistos duomenų bazės ekrano nuotraukos taip pat rodo, kad viešbučių tinklai „The Ritz“ ir „Marriot“ taip pat galėjo nukentėti nuo problemos.
Nuo vasario 5 d. pažeidžiamumas buvo ištaisytas. Tai, ką „MacKeeper“ vadina „puikiu reagavimu į incidentus“, „PunchKick“ išsprendė problemą per valandą po to, kai problema buvo atskleista žiniatinklio įmonei ir „Microsoft“. Tačiau apsaugos komanda taip pat sako:
„Blogos naujienos yra tai, kad bent jau kelias pastarąsias savaites ši bazinė duomenų bazė buvo veikiama atvirame internete ir prieigai nereikėjo jokio autentifikavimo.
Nors atsakomybė tenka ne „Microsoft“, o trečiosios šalies teikėjui, atsakingam už mobiliosios platformos tvarkymą ir užpakalinės sistemos, pažeidžiamumas pabrėžia, kad grandinės trūkumas gali turėti įtakos kiekvienai prie jos prijungtai įmonei paslauga.
Kelly Stirman, MongoDB strategijos viceprezidentė, sakė:
„Neseniai buvo paskelbtas tinklaraščio įrašas, kuriame teigiama, kad vartotojas tinkamai neužtikrino savo MongoDB egzemplioriaus ir todėl jam iškilo pavojus. [..] Galima problema kyla dėl to, kaip vartotojas gali konfigūruoti savo diegimą neįjungęs saugos. „MongoDB“ nėra jokių saugumo problemų – „MongoDB“ apima plačias saugumo galimybes.
„Visus vartotojus raginame laikytis mūsų nustatytų saugumo gairių. Apibendrinama geriausia saugumo praktika čia."
[Atnaujinimas 10.18 val. GMT: Straipsnyje, susijusiame su saugos problema, paaiškinimas pridėtas, MongoDB pareiškimas.]
10 dalykų, kurių nežinojote apie „Dark Web“.
Skaitykite toliau: Geriausi pasirinkimai
- Port Fail VPN saugos trūkumas atskleidžia jūsų tikrąjį IP adresą
- Pardavėjai padavė „Volkswagen“ kolektyvinius ieškinius dėl išmetamųjų teršalų skandalo
- Klaidos: kokios įmonės siūlo mokslininkams grynųjų pinigų?
- Jūsų įmonė patyrė duomenų pažeidimą. Kas dabar?