Данные пользователей сайта Microsoft Careers могли быть скомпрометированы

image

Теги: Microsoft, база данных, раскрытие данных

База данных портала была некорректно настроена, позволяя раскрыть данные пользователей.

Сайт Microsoft по поиску специалистов работал на основе некорректно настроенной системы управления базами данных MongoDB. Как сообщает независимый ИБ-специалист Крис Викери (Chris Vickery), в связи с ошибкой в конфигурации злоумышленники могли раскрыть и изменить данные в БД.

База данных обслуживалась компанией Punchkick Interactive – независимым подрядчиком, нанятым Microsoft для поддержки сайта m.careersatmicrosoft.com. «Microsoft пользуется услугами Punchkich для обслуживания БД. К сожалению, последние несколько недель база данных находилась в открытом доступе. Любой сторонний пользователь мог получить доступ к информации», - отметил эксперт.

Викери сообщил об инциденте в Microsoft 5 февраля нынешнего года. В качестве доказательства исследователь прикрепил имя, адрес электронной почты, хэш пароля и токены бренд-менеджера Microsoft Global Employment Кэрри Шепро (Karrie Shepro). Ошибка была исправлена менее чем через час.

В декабре прошлого года Викери обнаружил некорректно настроенную базу данных о клиентах ПО MacKeeper. Из-за ошибки в конфигурации системы управления БД в открытом доступе оказались данные 13 млн пользователей.


или введите имя

CAPTCHA