Carrièresite Microsoft kwetsbaar door onbeveiligde database
De carrièresite van Microsoft was kwetsbaar voor aanvallen doordat de database voor heel het internet zonder inloggegevens toegankelijk was. Hierdoor kon een aanvaller willekeurige html-code aan vacatures toevoegen, bijvoorbeeld voor het infecteren van vacaturezoekers met malware of phishingaanvallen.
Het probleem speelde op m.careersatmicrosoft.com, de mobiele website van de carrièresite die door het bedrijf Punchkick Interactive wordt onderhouden. Beveiligingsonderzoeker Chris Vickery ontdekte dat de MongoDB-database van de website geen schrijfbeveiliging had en via het internet voor iedereen toegankelijk was. Daardoor konden aanvallers html-code aan de vacaturepagina's toevoegen. "In dit geval zouden browseraanvallen tegen nietsvermoedende vacaturezoekers kunnen worden uitgevoerd. Het zou ook een fantastische phishingmogelijkheid bieden, aangezien mensen die bij Microsoft willen solliciteren vaak over waardevolle inloggegevens beschikken", stelt Vickery.
De onderzoeker vond in de database ook de naam, e-mailadres, wachtwoordhash en tokens van een Microsoft-marketingmanager. Nadat Microsoft en Punchkick Interactive waren ingelicht werd het probleem verholpen. Vickery heeft in het verleden meerdere problemen met onbeveiligde MongoDB-databases aangetoond, waardoor gegevens van miljoenen mensen via internet toegankelijk waren.
MongoDB is populaire databasesoftware die door allerlei websites en diensten wordt gebruikt, maar doordat tal van organisaties verouderde versies van de software hebben geïnstalleerd zijn de databases voor iedereen toegankelijk. De oudere versies vereisen namelijk geen wachtwoord. Alleen het weten van het ip-adres van de databaseserver is daardoor voldoende. Deze ip-adressen zijn met een zoekmachine als Shodan eenvoudig te vinden.
publiek bereikbaar IP adres zit??? Het wachtwoord maakt dan helemaal niet uit.
Wellicht is de gemiddelde beheerder van zo iets geen groot licht op netwerkgebied... NEXT NEXT NEXT FINISH en
klaar zijn we.
publiek bereikbaar IP adres zit??? Het wachtwoord maakt dan helemaal niet uit.
Wellicht is de gemiddelde beheerder van zo iets geen groot licht op netwerkgebied... NEXT NEXT NEXT FINISH en
klaar zijn we.
Maar alleen dan is het net wel jammer dat de site op Linux icm nginx gehost wordt. Blijkbaar ook nog eens niet achter een goed ingerichte firewall.
Dit bewijst maar weer eens, dat veiligheid van een server afhangt van de beheerder die de server beheerd. En de applicatie beheerders, maar dat is weer een ander verhaal.
Maar alleen dan is het net wel jammer dat de site op Linux icm nginx gehost wordt. Blijkbaar ook nog eens niet achter een goed ingerichte firewall.
O maar daar is het nog erger!!! pakketje installeren en klaar zijn we. firewall optioneel.
Kan allemaal want "Linux is heel veilig" wordt door de meelopers rondgetoeterd, dus degenen die zo iets moeten opzetten
zijn zich van geen kwaad bewust en denken dat ze goed bezig zijn.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
De gebezigde praktijk om Shared accounts met passwords hard coded in config files te zetten is vragen om de hacks. Ooit nagedacht over aanbrengen van stricte scheiding in container filosofie?
root wachtwoord nergens voor nodig, gewoon sudo wijd open zonder wachtwoord.
Natuurlijk niet! Je geeft bij installatie een gebruikersaccount op en indien er dan geen separaat root account is dan zit je achter een 'sudo-wall'. Maar als je dan je wachtwoord op straat legt, tja...
Ik ben "van vroeger" gewend dat je werkt onder een gebruikersaccount en als je dan meer moet doen dan doe je een su
waarvoor je het root wachtwoord moet weten. Echter als je tegenwoordig zo'n systeem installeert kun je overal sudo
voor tikken en dan doet hij het als root, zonder verdere validatie. Ik vind dat slecht, maar kennelijk zijn er goden die er
anders over denken.
Nou, nee: Microsoft heeft onderkend dat hun eigen besturingssysteem voor deze carrière site toepassing ongeschikt is (te licht bevonden).
Dit soort acties zijn bij elk wat groter bedrijf normaal. De interne afdeling zoals een HR komt er niet met de interne ict afdeling of de schaduw (doe het zelf) benadering. Dan vragen ze het aan een externe partij om het te doen. Microsoft als derde partij voor intern Microsoft is nu niet bepaald logisch. HR bandnsite lijkt me nu niet bepaald de Core business van ms.
Je moest eens weten hoeveel echt kritische zaken zo buiten de deur en buiten zicht van het bedrijf gedaan wordt. Bij nogal wat faals en data lekken zie je het tussendoor genoemd worden.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Cyber Security Trainer
"You know that feeling after you have been to the cinema and seen an exciting movie? It's the same after this training. I can only say that this is probably the BEST TRAINING that I've ever done!!!”
Are you ready for a challenge?
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.