Teknoloji

Microsoft’un iç güvenlik şifreleri İnternet’te açıkta kaldı

microsoft copilot ai

Microsoft, son dönemde artan yazılım güvenliği baskılarına maruz kalırken, geçtiğimiz ay bir sunucunun kilidini kapatma adımı attı. Bu sunucu, Microsoft çalışanlarının iç sistemlere erişim için kullandığı şifreleri, anahtarları ve kimlik bilgilerini internete açık bir şekilde sergiliyordu. TechCrunch tarafından aktarılan bilgilere göre, SOCRadar isimli bir şirketten üç güvenlik araştırmacısı, Microsoft’un Bing arama motoruna ait hassas verileri saklayan ve herhangi bir şifre koruması olmadan erişilebilen Azure barındırılan bir sunucuyu keşfetti. Sunucu, çeşitli scriptler, kodlar ve yapılandırma dosyaları içinde yer alan, Microsoft çalışanlarının iç sistemlere erişimde kullanılan bir dizi güvenlik kimlik bilgilerini içeriyordu.

Microsoft’un güvenlik zaafları

Bu tür bir güvenlik açığının, daha önemli veri sızıntılarına ve kullanımdaki hizmetlerin tehlikeye girmesine yol açabileceği belirtildi. Araştırmacılardan biri olan Can Yoleri, TechCrunch’a yaptığı açıklamada, hackerların bu açığa erişerek Microsoft’un iç verilerini sakladığı diğer alanları bulup erişebileceğini ve bu durumun daha önemli veri sızıntılarına ve kullanımdaki hizmetlerin tehlikeye girmesine neden olabileceğini ifade etti.

Microsoft, 6 Şubat’ta bu güvenlik zafiyeti hakkında bilgilendirildi ve 5 Mart’ta açığı kapattı. Bu süre zarfında başka birinin sunucuya erişip erişmediği ise netlik kazanmadı. Microsoft’dan konu hakkında bir yorum alınmaya çalışıldı ve geri dönüş alındığında haber güncellenecek.

Son yıllarda birkaç siber güvenlik aksiliği ile karşılaşan Microsoft, şu anda güvenlik uygulamalarını yeniden yapılandırma sürecinde. Bu ayın başlarında, ABD Siber Güvenlik İnceleme Kurulu’ndan yapılan bir değerlendirme, 2023 yılında Çinli hackerların ABD hükümeti e-posta sistemlerine erişim sağlamasına olanak tanıyan Exchange Online yazılımındaki bir açığı Microsoft’un önleyebileceğini belirtti. Bu durum, teknoloji devinin kurumsal güvenlik yatırımlarını ve katı risk yönetimini önceliklerinin gerisine atan bir “kurumsal kültür” geliştirdiği eleştirilerine yol açtı. Başka bir olayda, 2022 yılında Microsoft’un kendi çalışanları, şirketin sistemlerine giriş için kullanılan hassas giriş kimlik bilgilerini GitHub’a yükledi. Bu ve benzeri olaylar, Microsoft’un siber güvenlik alanında ciddi adımlar atması gerektiğini bir kez daha gözler önüne seriyor. Microsoft’un bu tür zaaflar karşısında nasıl bir yol izleyeceği ve güvenlik önlemlerini nasıl artıracağı, teknoloji dünyasında yakından takip edilen konular arasında yer alıyor.