Des chercheurs de Microsoft divulguent 38 To de données sensibles en raison d’un stockage mal configuré sur GitHub

Les projets d’IA impliquant des ensembles de données massifs, les expositions accidentelles deviennent plus courantes à mesure que les données sont partagées entre les équipes. Récemment, il a été rapporté que Microsoft avait accidentellement exposé en ligne « des dizaines de téraoctets » de données internes sensibles en raison d’un paramètre d’accès au stockage cloud mal configuré.

La société de sécurité cloud Wiz a découvert qu’un conteneur de stockage Azure lié à un référentiel GitHub utilisé par les chercheurs de Microsoft AI se voyait attribuer un jeton de signature d’accès partagé (SAS) trop permissif. Cela permettait à toute personne accédant à l’URL de stockage d’avoir un contrôle total sur toutes les données de l’ensemble du compte de stockage.

Pour ceux qui ne sont pas familiers, Azure Storage est un service qui vous permet de stocker des données sous forme de fichier, disque, blob, file d’attente ou table. Les données exposées comprenaient 38 téraoctets de fichiers, dont les sauvegardes personnelles de deux employés de Microsoft contenant des mots de passe, des clés secrètes et plus de 30 000 messages internes de Microsoft Teams.

Les données étaient accessibles depuis 2020 en raison d’une mauvaise configuration. Wiz a informé Microsoft du problème le 22 juin et la société a révoqué le jeton SAS deux jours plus tard.

Une enquête a révélé qu’aucune donnée client n’était impliquée. Cependant, cette exposition aurait pu permettre à des acteurs malveillants de supprimer, modifier ou injecter des fichiers dans les systèmes et services internes de Microsoft sur une période prolongée.

Dans un article de blog , Microsoft a écrit :

Aucune donnée client n’a été exposée et aucun autre service interne n’a été mis en danger à cause de ce problème. Aucune action du client n’est requise en réponse à ce problème… Notre enquête a conclu qu’il n’y avait aucun risque pour les clients à la suite de cette exposition.

En réponse aux résultats des recherches de Wiz, Microsoft a amélioré le service d’analyse secrète de GitHub. Le Security Response Center de Microsoft a déclaré qu’il surveillerait désormais toutes les modifications publiques du code open source pour les cas où les informations d’identification ou autres secrets sont exposés sous forme de texte brut.

Dans une interview avec TechCrunch, le co-fondateur de Wiz, Ami Luttwak, a déclaré :

L’IA libère un énorme potentiel pour les entreprises technologiques. Cependant, alors que les data scientists et les ingénieurs s’efforcent de mettre de nouvelles solutions d’IA en production, les quantités massives de données qu’ils traitent nécessitent des contrôles et des mesures de sécurité supplémentaires.

Alors que de nombreuses équipes de développement doivent manipuler d’énormes quantités de données, les partager avec leurs pairs ou collaborer sur des projets open source publics, des cas comme celui de Microsoft sont de plus en plus difficiles à surveiller et à éviter.

Source : Centre de réponse de sécurité de Microsoft via TechCrunch