Exposition de données sensibles via une API non sécurisée chez un géant de l'aviation
L’article publié par CloudSEK via la plateforme BeVigil révèle une faille de sécurité critique chez un géant de l’aviation, impliquant une API non sécurisée dans un fichier JavaScript. Cette vulnérabilité a permis un accès non autorisé aux données sensibles de Microsoft Graph de plus de 50 000 utilisateurs Azure AD, y compris des cadres exécutifs. L’API exposée délivrait un jeton d’accès avec des permissions excessives telles que User.Read.All et AccessReview.Read.All, ouvrant la voie à des attaques par hameçonnage et à l’usurpation d’identité. ...