18 януари, 2020

Microsoft са имали бъг в своята система за login, който би могъл да бъде използван от измамници, за да накарат интернет потребители да дадат достъп до цялата информация към онлайн акаунтите си.

Бъгът е бил докладван през октомври и е бил отстранен за три седмици, но през това време всеки хакер е имал възможност да открадне account tokens, които уебсайтовете и приложенията използват, за да дават на потребителите  достъп до акаунтите им, без да им се налага всеки път да използват парола. 

Екип от израелската компания за киберсигурност CyberArk е открил, че има дузини нерегистрирани събдомейни, които са били свързани с няколко приложения, разработени от Microsoft. Тези приложения имат високи нива на сигурност и са били свързани със събдомейните, където автоматично са били събирани всички access tokens, без за това да е било искано изрично разрешение от потребителите. Според CyberArk, един хакер с достъп до събдомейните е имал нужда единствено да изпрати линк на нищо неподозиращ потребител по имейл или на уебсайт и така да открадне неговия token.

Това е втори подобен бъг за Microsoft за една година.

Тагове: , , ,