Vertraue niemandem Deine Login-Daten an. Es ist ein Grundsatz, an den man sich halten sollte, wenn es um die Themen Internet- oder Gerätesicherheit geht. Wer im Besitz eines Passworts von anderen Menschen ist, kann damit so manchen Ärger verursachen. Die Sicherheitsfirma SpiderSilk war nun in der Lage, 7 Fälle von veröffentlichten Login-Daten von Microsoft Mitarbeitern/innen ausfindig zu machen. Der Chief Security Officer Mossab Hussein bestätigte nun, dass man über diese Logins Zugriff auf die Azure-Infrastruktur von Microsoft gehabt haben soll. Dabei war vor allem ein GitHub-Profil mit einem Zugang auf das Azure DevOps Code Repository versehen. Wären Angreifer auf diesen Login aufmerksam geworden, hätte dies durchaus großen Schaden verursachen können.
Vier Logins waren bereits deaktiviert
SpiderSilk hat bestätigt, dass sie bei ihrer Recherche bemerkt haben, dass vier Logins bei Auffindung bereits nicht mehr aktiv waren. Drei an der Zahl waren jedoch noch aktiv und hätten für Cyberkriminelle ein Einfallstor darstellen können. Inzwischen sind natürlich sämtliche Sicherheitslücken in dieser Hinsicht von Microsoft geschlossen worden. In einer eigenen Stellungnahme bestätigte auch Microsoft diesen Vorfall und versicherte, dass die Zugangsdaten nun gesichert sind. Es wurden entsprechende Maßnahmen ergriffen, auf die Microsoft nicht weiter eingegangen ist. Darüber hinaus teilte Microsoft in der Stellungnahme mit, dass es keinerlei Anzeichen auf äußerliche Zugriffe auf die Login-Daten gäbe.
Aktive Anmeldeinformationen sind natürlich immer eine potenzielle Gefahr und dies gilt auch für private Nutzer/innen. Wer seine Passwörter speichern lässt und automatische Anmeldungen in Anspruch nimmt, muss mit der Möglichkeit rechnen, dass fremde Personen davon profitieren können, wenn Endgeräte zum Beispiel entwendet werden oder verloren gehen. Auch Cyberkriminelle freuen sich über aktivierte Anmeldeinformationen.
Ob es für die Microsoft Mitarbeiter/innen nun Konsequenzen zu fürchten gibt, hat Microsoft im Falle der 7 offengelegten Anmeldeinformationen über GitHub nicht verlauten lassen.
