Reuters: Aanvaller had toegang tot Microsoft-bugdatabase
Een aanvaller is er vier jaar geleden in geslaagd om toegang te krijgen tot een interne database van Microsoft die informatie over nog ongepatchte kwetsbaarheden in Windows en andere Microsoft-producten bevatte, zo laten vijf voormalige werknemers van Microsoft tegenover Reuters weten.
Microsoft heeft de aanval zelf nooit bekendgemaakt en wilde ook niet tegen Reuters reageren. Volgens de ex-medewerkers bevatte de database informatie over ernstige en ongepatchte kwetsbaarheden in Windows en andere producten. De kwetsbaarheden zouden een aantal maanden na de aanval zijn gepatcht. Na ontdekking van de hack besloot Microsoft aanvallen op andere organisaties te onderzoeken. Er zou daarbij geen bewijs zijn gevonden dat de gestolen informatie bij deze aanvallen was gebruikt.
Naar aanleiding van de hack zou Microsoft de beveiliging hebben aangescherpt en werd de bugdatabase van het bedrijfsnetwerk afgeschermd. Ook moeten gebruikers zich voortaan twee keer authenticeren. Bugdatabases van softwarebedrijven zijn zeer waardevol voor aanvallers, omdat die zo gebruikers via nog ongepatchte kwetsbaarheden kunnen aanvallen. Of dergelijke databases vaker het doelwit van aanvallers zijn is onduidelijk. Slechts één groot softwarebedrijf heeft een dergelijke aanval ooit geopenbaard.
In 2015 maakte Mozilla bekend dat een aanvaller toegang tot de interne bugdatabase 'Bugzilla' had verkregen en tenminste één ongepatchte kwetsbaarheid had gebruikt om Firefox-gebruikers aan te vallen. De aanvaller wist toegang tot Bugzilla te krijgen omdat een gebruiker met toegang tot de database zijn wachtwoord op een andere website had hergebruikt. Deze niet nader genoemde website werd gehackt, waardoor het wachtwoord uiteindelijk in handen van de aanvaller kwam die zo toegang tot het Bugzilla-account van deze gebruiker wist te krijgen.
En mocht dat onverhoopt toch gebeuren, dan is het natuurlijk ondenkbaar dat die hackers (of andere onverlaten waar ze deze gegevens aan verkopen), daar misbruik van maken - bijv. vanwege bekende kwetsbaarheden daarin.
Of?
....
Of?
Eerste probleem is visie van informatieveiligheid daarvoor moet hè niet bij os Nerds zijn. Wat dat betreft is ms mogelijk beter te vertrouwen dan Amazon google Facebook en anderen.
Kijk ik wat andere berichten na. Zie ik genoemd worden dat Apple Facebook en Twitter ook onderuit zijn gegaan. Het weglaten van zoiets is niet handig.
https://www.google.nl/amp/s/www.pcworld.com/article/2945632/hacker-group-that-hit-twitter-facebook-apple-and-microsoft-intensifies-attacks.amp.html
Je krijgt nu een verhaal van voormalige interne meedwerkers die interne informatie naar buiten brengen.
Als een voormalig intern beheerder de boel onklaar maakt is dat duidelijk fout. Waar ligt de grens van iets wat voor de buitenwereld nuttig is en wat als wraak te zien is?
Overigens slechte beveiliging is eerder standaard dan uitzondering. Ik heb nog nergens gezien waar de boel echt op orde is. Besef security is een kostenpost waar je makkelijk op kunt bezuinigen.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.