Microsoft-cloud lekte broncode van klanten

Dit datalek van broncode en mogelijk ook gevoelige informatie zoals inloggegevens, is begin oktober verantwoord gemeld bij Microsoft. Die leverancier heeft het onderzocht en uiteindelijk gefixt, om het afgelopen week wereldkundig te maken. De onthulling van de zogeheten NotLegit-kwetsbaarheid is vlak voor kerst gedaan, waarbij cloudsecuritybedrijf Wiz in zijn blogpost uitleg geeft over zijn ontdekking.

Bedrijfsgeheimen en inlogs

Applicaties die Microsoft-klanten zelf hebben geschreven in uiteenlopende talen kunnen door dit datalek terecht zijn gekomen in de rootmap voor webcontent. Die opslaglocatie is dan publiekelijk toegankelijk waardoor onbevoegde buitenstaanders bij die broncode kunnen komen. Het gaat om applicaties geschreven in PHP, Python, Ruby of Node die dan door klanten zijn uitgerold naar de Azure-dienst voor webapps via de optie 'Local Git'.

Volgens ontdekker Wiz zijn openbaar gemaakte .git-mappen een vaker voorkomend beveiligingsprobleem. Veel gebruikers doen dit zonder het zelf te beseffen. "Kwaadaardige partijen zijn het internet constant aan het scannen op blootgestelde Git-mappen waaruit ze bedrijfsgeheimen en intellectueel eigendom kunnen verzamelen", schrijft het Wiz Research Team. Naast broncode kan zo'n map van ontwikkeltool Git ook wachtwoorden en toegangstokens voor andere apps of online diensten bevatten.

Beloning voor bugmelding

De beveiligingsonderzoekers van Wiz hebben de fout in Microsofts cloudcode ontdekt op 12 september 2021, maar deze terug weten te traceren naar september 2017. Het Wiz Research Team heeft de NotLegit-bug in oktober gemeld en daarna in overleg met het Microsoft Security Response Center (MSRC) en het ontwikkelteam voor Azure App Services aangepakt. Microsoft heeft een bug bounty van 7.500 dollar toegekend aan Wiz.