Microsoft-Forscher verlieren 38 TB vertrauliche Daten aufgrund eines falsch konfigurierten Speichers auf GitHub

Da KI-Projekte riesige Datensätze umfassen, kommt es häufiger zu unbeabsichtigten Expositionen, da Daten zwischen Teams ausgetauscht werden. Kürzlich wurde berichtet, dass Microsoft aufgrund einer falsch konfigurierten Cloud-Speicherzugriffseinstellung versehentlich „zig Terabyte“ sensibler interner Daten online offengelegt hat.

Das Cloud-Sicherheitsunternehmen Wiz hat herausgefunden, dass einem Azure-Speichercontainer, der über ein von Microsoft-KI-Forschern verwendetes GitHub-Repository verlinkt war, ein übermäßig freizügiges Shared-Access-Signature-Token (SAS) zugewiesen war. Dies ermöglichte jedem, der auf die Speicher-URL zugegriffen hat, die volle Kontrolle über alle Daten im gesamten Speicherkonto.

Für diejenigen, die es nicht kennen: Azure Storage ist ein Dienst , der es Ihnen ermöglicht, Daten als Datei, Festplatte, Blob, Warteschlange oder Tabelle zu speichern. Zu den offengelegten Daten gehörten 38 Terabyte an Dateien, darunter die persönlichen Backups von zwei Microsoft-Mitarbeitern mit Passwörtern, geheimen Schlüsseln und über 30.000 internen Microsoft Teams-Nachrichten.

Aufgrund der Fehlkonfiguration waren die Daten seit 2020 zugänglich. Wiz informierte Microsoft am 22. Juni über das Problem und das Unternehmen widerrief den SAS-Token zwei Tage später.

Eine Untersuchung ergab, dass es sich dabei nicht um Kundendaten handelte. Die Offenlegung hätte es böswilligen Akteuren jedoch ermöglichen können, über einen längeren Zeitraum hinweg Dateien zu löschen, zu ändern oder in die Systeme und internen Dienste von Microsoft einzuschleusen.

In einem Blogbeitrag schrieb Microsoft;

Aufgrund dieses Problems wurden keine Kundendaten offengelegt und keine anderen internen Dienste gefährdet. Als Reaktion auf dieses Problem sind keine Maßnahmen des Kunden erforderlich. Unsere Untersuchung kam zu dem Schluss, dass aufgrund dieser Gefährdung kein Risiko für die Kunden besteht.

Als Reaktion auf die Ergebnisse der Wiz-Forschung hat Microsoft den geheimen Scan-Dienst von GitHub erweitert . Das Security Response Center von Microsoft gab bekannt, dass es nun alle Änderungen am öffentlichen Open-Source-Code auf Fälle überwachen wird, in denen Anmeldeinformationen oder andere Geheimnisse als Klartext offengelegt werden.

In einem Interview mit TechCrunch sagte Wiz-Mitbegründer Ami Luttwak:

KI eröffnet enormes Potenzial für Technologieunternehmen. Da Datenwissenschaftler und Ingenieure jedoch darum kämpfen, neue KI-Lösungen in die Produktion zu bringen, erfordern die riesigen Datenmengen, die sie verarbeiten, zusätzliche Sicherheitsprüfungen und Schutzmaßnahmen.

Da viele Entwicklungsteams riesige Datenmengen bearbeiten, diese mit Kollegen teilen oder an öffentlichen Open-Source-Projekten zusammenarbeiten müssen, werden Fälle wie der von Microsoft immer schwieriger zu überwachen und zu vermeiden.

Quelle: Microsoft Security Response Center über TechCrunch