Microsoft Office 365 „skylė“ leidžia vogti vartotojų duomenis


ballmer-office-365-big-680

Microsoft „debesų“ tarnyba Office 365 turi kritinę spragą vartotojų autentifikacijos sistemoje, kuri kelia grėsmę vartotojų duomenų saugumui. Šią informaciją išplatino Noam Liran, kompanijoje Adallom dirbantis programinės įrangos architektūrų padalinio vadovu.

Office 365 iš vartotojo reikalauja paskyros autorizacijos, o siunčiant dokumentą iš tarnybos SharePoint, sutikrinami vartotojo prisijungimo duomenys, siunčiant atitinkamus  verifikacijos duomenis.

Pastarieji turėtų būti siunčiami tik tuo atveju, kai serveri yra domene „sharepoint.com“. tačiau Noam Liran išsiaiškino, jog jei bus sukurtas nuosavas serveris, kuris veiktų kaip ir tikrasis Sharepoint, vartotojo kompiuteris vis tiek į jį siųsti autentifikacijos duomenis.

„Dabar mano kenkėjiškas WEB serveris turi jūsų Office 365 autentifikacinius duomenis, ir aš galiu apsilankyti jūsų Sharepoint puslapyje, atsisiųsti visus dokumentus, pakeisti juos arba atlikti kitus veiksmus. Jūs niekada apie tai nesužinosite. Tai idealus nusikaltimas“, – pareiškė Noam Liran.

Microsoft gana greitai sureagavo į publikuotą pažeidžiamumą ir išleido naują saugumo biuletenį. Kaip spraga gali būti išnaudota realybė, Noam Liran pademonstravo specialiai sukurtame vaizdo klipe:

Komentuoti nebegalima


Kitos kategorijos naujienos