塔马里指出,虽然微软已注销受影响的加密数码钥匙,详细说明黑客的手法并发布黑客侵入的可能迹象,帮助用户识别,但如果不披露与令牌(token)验证相关的安全日志,用户可能无法发现账户被侵入。
“有了身份提供商的密钥,就可以立即访问所有内容,任何邮箱、文件服务或云账户。这并非微软独有的问题,如果谷歌、脸书、Okta或任何其他主要身份提供商的认证钥匙外泄,所造成的影响是难以预估的。”
微软公司本月初说,黑客利用微软一个验证身份的数码钥匙,入侵欧美政府机构官员的电邮,但没有透露黑客如何获得微软的数码钥匙。
(纽约彭博电)美国云安全公司说,日前入侵美国商务部长雷蒙多和多国政府官员电子邮箱、疑为来自中国的黑客,可能也渗透了官员共享文件的应用。
Wiz的研究员塔马里写道:“身份提供商(Identity provider)的认证钥匙可能是现代世界中最强大的秘密。”
微软没有立即回应置评请求。它上周在美国网络安全官员的压力下,表明将在未来几个月内,为所有客户提供免费的云安全日志。美国官员认为,安全日志对于发现和预防网络安全威胁至关重要,还能让受害者在遭黑客攻击后迅速采取行动。微软目前将安全日志记录列为高端服务,额外收取费用。
延伸阅读
有了身份提供商密钥 就可以访问所有内容
彭博社星期一(7月24日)引述云安全公司Wiz Inc报道说,黑客取得的数码钥匙,或许也让黑客渗透了包括Teams、OneDrive和Sharepoint等,用于共享文件的应用。
身份提供商指的是在网上存储和管理用户数字身份的服务。
