Hacker News 의견

• Storm-0558 키 획득의 치명적 실패에 대한 기사
• 드문 경쟁 상태로 인한 예상치 못한 결과로 인한 실패
• 손상된 키는 오래되었고 소비자 이메일 계정에만 접근 권한을 부여했어야 했지만, 버그로 인해 기업 이메일 계정에도 허용됨
• 공격자가 Microsoft의 내부 인프라에 대한 깊은 이해를 가지고 있었다는 기사의 제안
• 인증 정보가 탐지 및 공개 전 2년 이상 침해되었다는 의심이 있는 침해의 타임라인에 대한 우려
• 위조된 토큰의 수와 접근한 데이터의 범위는 공개되지 않아, 침해의 심각성에 대한 의문을 제기
• 이러한 침해를 방지하기 위한 자주 키 회전의 필요성을 강조하는 기사
• 키가 복구 불가능한 하드웨어에 저장되지 않았으며, 일반 서버 프로세스에서 사용 가능했다는 것은 잠재적인 보안 결함을 시사
• 키 자료 유출을 방지하기 위한 하드웨어 보안 모듈(HSMs) 사용의 부재에 대한 비판
• Microsoft의 접근 토큰 유효성 검사 섹션에서 발행자의 날짜 또는 철회 확인에 대한 언급이 없다는 기사의 지적
• 침해 중에 이중 인증 또는 기타 추가 인증 방법이 우회되었는지에 대한 불확실성
• 공격 중에 이메일이 추출된 알려진 덤프가 있었는지에 대한 질문으로 기사가 끝남