I ricercatori Microsoft perdono 38 TB di dati sensibili a causa di uno spazio di archiviazione non configurato correttamente su GitHub

Poiché i progetti di intelligenza artificiale coinvolgono enormi quantità di dati, le esposizioni accidentali diventano più comuni man mano che i dati vengono condivisi tra i team. Recentemente, è stato riferito che Microsoft ha accidentalmente esposto online “decine di terabyte” di dati interni sensibili a causa di un’impostazione di accesso allo spazio di archiviazione cloud configurata in modo errato.

La società di sicurezza cloud Wiz ha scoperto che a un contenitore di archiviazione di Azure collegato da un repository GitHub utilizzato dai ricercatori di Microsoft AI era assegnato un token SAS (firma di accesso condiviso) eccessivamente permissivo. Ciò ha consentito a chiunque accedesse all’URL di archiviazione il controllo completo su tutti i dati nell’intero account di archiviazione.

Per chi non lo conoscesse, Archiviazione di Azure è un servizio che consente di archiviare dati come file, disco, BLOB, coda o tabella. I dati esposti includevano 38 terabyte di file, inclusi i backup personali di due dipendenti Microsoft contenenti password, chiavi segrete e oltre 30.000 messaggi interni di Microsoft Teams.

I dati erano accessibili dal 2020 a causa della configurazione errata. Wiz ha informato Microsoft del problema il 22 giugno e la società ha revocato il token SAS due giorni dopo.

Un’indagine ha rilevato che non erano coinvolti i dati dei clienti. Tuttavia, l’esposizione avrebbe potuto consentire ad autori malintenzionati di eliminare, modificare o inserire file nei sistemi e nei servizi interni di Microsoft per un periodo prolungato.

In un post sul blog , Microsoft ha scritto;

Nessun dato dei clienti è stato esposto e nessun altro servizio interno è stato messo a rischio a causa di questo problema. Non è richiesta alcuna azione da parte del cliente in risposta a questo problema… La nostra indagine ha concluso che non vi erano rischi per i clienti a seguito di questa esposizione.

In risposta ai risultati della ricerca di Wiz, Microsoft ha migliorato il servizio di scansione segreta di GitHub. Il Security Response Center di Microsoft ha affermato che ora monitorerà tutte le modifiche al codice open source pubblico per i casi in cui credenziali o altri segreti vengono esposti come testo semplice.

In un’intervista con TechCrunch, il co-fondatore di Wiz Ami Luttwak ha detto;

L’intelligenza artificiale apre un enorme potenziale per le aziende tecnologiche. Tuttavia, mentre i data scientist e gli ingegneri si affrettano a portare in produzione nuove soluzioni di intelligenza artificiale, le enormi quantità di dati che gestiscono richiedono ulteriori controlli e tutele di sicurezza.

Dato che molti team di sviluppo devono manipolare enormi quantità di dati, condividerli con i colleghi o collaborare su progetti open source pubblici, casi come quello di Microsoft sono sempre più difficili da monitorare ed evitare.

Fonte: Security Response Center di Microsoft tramite TechCrunch