Investigadores de Microsoft filtran 38 TB de datos confidenciales debido a un almacenamiento mal configurado en GitHub

Dado que los proyectos de IA implican conjuntos de datos masivos, las exposiciones accidentales se vuelven más comunes a medida que los equipos comparten datos. Recientemente, se informó que Microsoft expuso accidentalmente «decenas de terabytes» de datos internos confidenciales en línea debido a una configuración de acceso al almacenamiento en la nube mal configurada.

La empresa de seguridad en la nube Wiz descubrió que un contenedor de almacenamiento de Azure vinculado desde un repositorio de GitHub utilizado por investigadores de IA de Microsoft tenía asignado un token de firma de acceso compartido (SAS) demasiado permisivo. Esto permitió que cualquiera que accediera a la URL de almacenamiento tuviera control total sobre todos los datos de toda la cuenta de almacenamiento.

Para aquellos que no están familiarizados, Azure Storage es un servicio que le permite almacenar datos como un archivo, disco, blob, cola o tabla. Los datos expuestos incluían 38 terabytes de archivos, incluidas las copias de seguridad personales de dos empleados de Microsoft que contenían contraseñas, claves secretas y más de 30.000 mensajes internos de Microsoft Teams.

Los datos estaban accesibles desde 2020 debido a una mala configuración. Wiz notificó a Microsoft sobre el problema el 22 de junio y la compañía revocó el token SAS dos días después.

Una investigación encontró que no había datos de clientes involucrados. Sin embargo, la exposición podría haber permitido a actores maliciosos eliminar, modificar o inyectar archivos en los sistemas y servicios internos de Microsoft durante un tiempo prolongado.

En una publicación de blog , Microsoft escribió;

No se expusieron datos de clientes y ningún otro servicio interno se puso en riesgo debido a este problema. No se requiere ninguna acción del cliente en respuesta a este problema… Nuestra investigación concluyó que no había ningún riesgo para los clientes como resultado de esta exposición.

En respuesta a los hallazgos de la investigación de Wiz, Microsoft ha mejorado el servicio de escaneo secreto de GitHub. El Centro de Respuesta de Seguridad de Microsoft dijo que ahora monitoreará todas las modificaciones públicas del código fuente abierto para detectar casos en los que las credenciales u otros secretos se expongan como texto sin formato.

En una entrevista con TechCrunch, dijo el cofundador de Wiz, Ami Luttwak;

La IA abre un enorme potencial para las empresas de tecnología. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran para llevar a producción nuevas soluciones de IA, las enormes cantidades de datos que manejan requieren controles y salvaguardas de seguridad adicionales.

Dado que muchos equipos de desarrollo necesitan manipular cantidades masivas de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar.

Fuente: Centro de respuesta de seguridad de Microsoft a través de TechCrunch