Únik know-how je v oblasti softwarové bezpečnosti považován za nejhorší možný scénář. Pro Microsoft se ale tato obava proměnila v realitu. Jeden ze zaměstnanců softwarového koncernu omylem zveřejnil zdrojový kód technologie ochrany proti kopírování PlayReady. Používá se už přibližně 15 let. Toto narušení bezpečnosti údajů by mohlo mít dalekosáhlé důsledky pro ochranu digitálního obsahu.
Informace o bezpečnostním incidentu byla zveřejněna 11. června 2024, kdy se v komunitě vývojářů Microsoftu objevil příspěvek o problémech se službou Apple TV na zařízení Surface Pro 8. Obsahoval také poměrně rozsáhlou přílohu, jejíž součástí byl i dotčený kód.
Dopad úniku dat na Microsoft je prozatím nejistý
Náhodně zveřejněná data obsahují více než 260 souborů se zdrojovými kódy, které mají po rozbalení velikost přibližně 4 GB. Kromě konfigurací pro knihovnu PlayReady byly součástí úniku také knihovny pro obfuskační funkce kódu, které přidávají další vrstvu ochrany před neoprávněným odhalováním klíčových informací, a statické knihovny.
V bezpečnostní komunitě už zaznívají hlasy, že tyto uniklé informace by mohly být dostačujícím důvodem pro kompletní přepracování ochrany proti kopírování, kterou Microsoft momentálně používá.
Microsoft mezitím kritický příspěvek odstranil, nicméně zveřejněná data byla volně přístupná přibližně 12 hodin.
Zdroj: X / @vxundergroundJune 11th a Microsoft engineer accidentally leaked 4GB of Microsoft PlayReady internal code. It was leaked on the Microsoft Developer Community. The leak includes:
— vx-underground (@vxunderground) June 25, 2024
- WarBird configurations
- WarBird libraries for code obfuscation functionality
- Libraries with symbolic… pic.twitter.com/oqrySGvdDt