Saltar al contenido

El sitio de Microsoft Careers era vulnerable a los ataques

05/11/2020

Punchkick Interactive es una empresa de desarrollo web móvil. Microsoft confía en Punchkick para manejar la base de datos que alimenta m.careersatmicrosoft.com. La mala noticia es que, al menos durante las últimas semanas, esta base de datos backend ha estado expuesta a la Internet abierta y no requirió autenticación para acceder.

La buena noticia es que a partir del 5 de febrero, luego de mi divulgación de la vulnerabilidad a Punchkick y Microsoft, todo se ha asegurado. Para aquellos curiosos, hay una captura de pantalla general de la base de datos en su forma expuesta incluida con esta publicación. Notarás otros nombres de empresas en la imagen, pero me centré en Microsoft debido a la probabilidad de que esa parte tenga el mayor impacto.

Todo indica que la base de datos, una instancia de MongoDB, no estaba protegida contra escritura. Probablemente vea a dónde va esto: durante el período de tiempo expuesto, un atacante podría haber modificado la base de datos y, por lo tanto, el código HTML de las páginas de listas de trabajos que se publican a través de m.careersatmicrosoft.com.

La capacidad de crear HTML arbitrario en una página web oficial de carreras de Microsoft es, por decir lo menos, un hallazgo poderoso para un posible pirata informático malicioso. Esta situación es la definición clásica de un posible ataque de abrevadero.

En ese escenario, se podría lanzar cualquier número de exploits del navegador contra los buscadores de empleo desprevenidos. También sería una oportunidad fantástica de phishing, ya que las personas que buscan trabajo en Microsoft probablemente tienden a tener credenciales de mayor valor.

Hablando de credenciales, algunas de ellas eran parte de esta base de datos expuesta de Punchkick. Como prueba de la gravedad de la situación, uno de mis primeros correos electrónicos a Microsoft con respecto a la vulnerabilidad incluía una captura de pantalla que mostraba el nombre, la dirección de correo electrónico, el hash de la contraseña y los tokens emitidos para la Gerente de Marketing de Marca de Empleo Global de Microsoft, Karrie Shepro. Junto con este artículo se publica una versión redactada de la captura de pantalla.

Mi principal punto de contacto en Punchkick Interactive fue Charles Portwood. El mensaje más reciente que recibí de él contenía, en parte, lo siguiente:

La base de datos de Mongo es nuestra, pero se utiliza para un servicio independiente que, en última instancia, es consumido por el sitio web m.careersatmicrosoft.com. Este problema que hizo que MongoDB se exponga públicamente se ha solucionado por nuestra parte.

Gracias por informarnos de esto para que podamos corregirlo rápidamente.

Charles R. Portwood II | Punchkick interactivo

Tiene razón en que Punchick lo corrigió “rápidamente”. Creo que solo pasó una hora entre mi primer correo electrónico a hello@punchkick.com y la protección de la base de datos. Punchkick obtiene puntos en mi libro por la respuesta rápida, el hash de contraseña seguro y, en general, por ser muy agradable. Este fue un ejemplo de excelente respuesta a incidentes.

La lección que debe aprender aquí es que si es un jugador de renombre como Microsoft, es aceptable que terceros manejen operaciones mundanas como páginas web de publicación de trabajos. Pero tenga en cuenta que un agujero en la seguridad de un tercero puede convertirse rápidamente en un agujero en su seguridad.

Chris Vickery y Tecnologardescubren e informan problemas de seguridad e infracciones en línea en TecnologarSecurity Research Center. Esté atento a las últimas noticias de seguridad y aprenda cómo permanecer protegido cuando está en línea.

Atención: algunas partes de este artículo se pueden utilizar para su publicación si se hace una referencia adecuada y se da crédito al investigador de seguridad de Tecnologar: Chris Vickery.