Holenderski Dirk-jan odkrywa problem bezpieczeństwa firmy Microsoft

„Wpatrywałem się w ekran i pomyślałem: To nie może się dziać. To nie może działać…”

Początkowo Dirk-jan Mollema z niedowierzaniem uświadamia sobie powagę błędu, który właśnie odkrył. A potem powaga sytuacji zaczyna do niego docierać. „W ogóle nie chcę móc robić takich rzeczy; nie chcę brać na siebie takiej odpowiedzialności”.

Luka odkryta przez Mollemę dotyczy usługi Microsoft Entra ID. Jest to tzw. usługa uwierzytelniania służąca do logowania się do innych produktów firmy Microsoft, w tym do usługi chmurowej Azure i pakietu biurowego Microsoft 365.

Mollema znalazł nowy sposób logowania się i wykonywania czynności w imieniu innych użytkowników. „W rzeczywistości był on przeznaczony dla samego Microsoftu, do użytku wewnętrznego. Ale ja też mogłem z niego korzystać”.

Ta metoda logowania miała jednak istotną wadę: nie sprawdzała, czy faktycznie potrzebujesz dostępu do systemu. W ten sposób haker mógł uzyskać dostęp do systemów Microsoft dowolnej firmy.

„Można wtedy zobaczyć na przykład, kto tam pracuje i jakie są jego dane” – mówi Mollema. „I to wszystko bez pozostawiania śladów”.

Co gorsza: haker mógłby mianować się administratorem i wprowadzać wszelkiego rodzaju zmiany. „Wtedy inni administratorzy zobaczą, że pojawił się nowy użytkownik, więc nie jest to coś, co dzieje się potajemnie” – mówi Mollema. Ale w ten sposób haker mógłby uzyskać dostęp do wszystkich firmowych e-maili i plików. „A więc także do wszelkiego rodzaju danych osobowych”.

W poniższym filmie reporter technologiczny Wouter van Dijke wyjaśnia konsekwencje błędu w firmie Microsoft:

Kiedy Mollema odkrył błąd, natychmiast zgłosił go do Microsoftu. „Myślę, że to najszybszy raport, jaki kiedykolwiek napisałem. Wiedziałem od razu: to musi zostać naprawione jak najszybciej. Zgłosiłem to więc w ciągu dwóch godzin”.

Microsoft również potraktował zgłoszenie bardzo poważnie. „Rozwiązali problem w rekordowym czasie. Ostatecznie wdrożyli rozwiązanie na całym świecie w ciągu trzech dni. To naprawdę szybko jak na tak dużą firmę jak Microsoft”.

O powadze sytuacji świadczy także ostrzeżenie wydane przez firmę Microsoft, która przyznaje błędowi maksymalną liczbę punktów – 10.

Każdy, kto odkryje lukę w zabezpieczeniach i zgłosi ją firmie Microsoft, może liczyć na nagrodę. Te tak zwane nagrody za znalezienie błędu mogą sięgać co najmniej 100 000 dolarów (85 000 euro). Mollema odmówił podania kwoty, jaką Microsoft mu zapłacił. „Ale zdecydowanie mają nagrodę za znalezienie błędu”. dany."

Dzięki raportowi Mollemy, Microsoft był w stanie szybko załatać lukę. Wygląda na to, że inni nie odkryli tego samego problemu ani nawet go nie wykorzystali. Mollema: „Microsoft zbadał tę sprawę i twierdzi, że nie zaobserwował żadnych nadużyć. Zakładam, że to prawda. Ale nigdy nie można być całkowicie pewnym”.

Firmy korzystające z usług Microsoftu nie muszą się już martwić, mówi Mollema. „Ten problem tak naprawdę był winą Microsoftu. Jako firma, nie mogliśmy nic z tym zrobić. Zasadniczo firmy nie muszą podejmować żadnych działań, ponieważ Microsoft rozwiązał ten problem po swojej stronie”.

Skutki włamania mogą być znaczące. Dane Sandry wyciekły z laboratorium medycznego, wyjaśnia w tym filmie: