(资料图片)

近日，微软承认其旗下Azure云服务中存在开放授权（OAuth）漏洞。黑客可以利用该漏洞，使用他人的Azure账号登录第三方网站。这一漏洞已被安全软件公司Descope研究人员命名为“nOAuth”，并表示存在于Azure云服务的Active Directory中。

黑客要实施攻击，只需创建一个具有管理员权限的Azure账号，并将该账号的电子邮件地址修改为他人的电子邮件地址，然后利用“使用Microsoft登录”，即可使用他人的Azure账号登录第三方网站。Descope首席安全官Imer Cohen表示，微软在设计“身份验证”时存在缺陷，进而导致了Azure的“nOAuth”漏洞。这一漏洞可能对相当一部分Azure用户构成影响。 微软目前已经承认了该漏洞，并发布警告。该公司提醒用户不要泄露自己的电子邮件信息，并告知第三方开发者不应将Token内置于客户端中。