Данные пользователей сайта Microsoft Careers могли быть скомпрометированы

Сайт Microsoft по поиску специалистов работал на основе некорректно настроенной системы управления базами данных MongoDB. Как сообщает независимый ИБ-специалист Крис Викери (Chris Vickery), в связи с ошибкой в конфигурации злоумышленники могли раскрыть и изменить данные в БД.

База данных обслуживалась компанией Punchkick Interactive – независимым подрядчиком, нанятым Microsoft для поддержки сайта m.careersatmicrosoft.com. «Microsoft пользуется услугами Punchkich для обслуживания БД. К сожалению, последние несколько недель база данных находилась в открытом доступе. Любой сторонний пользователь мог получить доступ к информации», - отметил эксперт.

Викери сообщил об инциденте в Microsoft 5 февраля нынешнего года. В качестве доказательства исследователь прикрепил имя, адрес электронной почты, хэш пароля и токены бренд-менеджера Microsoft Global Employment Кэрри Шепро (Karrie Shepro). Ошибка была исправлена менее чем через час.

В декабре прошлого года Викери обнаружил некорректно настроенную базу данных о клиентах ПО MacKeeper. Из-за ошибки в конфигурации системы управления БД в открытом доступе оказались данные 13 млн пользователей.