Microsoft 연구원들은 GitHub의 스토리지 잘못 구성으로 인해 38TB의 민감한 데이터를 유출했습니다.

AI 프로젝트에는 대규모 데이터 세트가 포함되므로 팀 간에 데이터가 공유되면서 우발적인 노출이 더 자주 발생합니다. 최근 마이크로소프트가 클라우드 스토리지 접근 설정을 잘못해 실수로 수십 테라바이트에 달하는 민감한 내부 데이터를 온라인에 노출한 것으로 알려졌다.

클라우드 보안 회사인 Wiz는 Microsoft AI 연구원이 사용하는 GitHub 리포지토리에서 연결된 Azure 스토리지 컨테이너에 과도하게 허용되는 SAS(공유 액세스 서명) 토큰이 할당되어 있음을 발견했습니다. 이를 통해 스토리지 URL에 액세스한 사람은 누구나 전체 스토리지 계정의 모든 데이터에 대한 모든 권한을 가질 수 있었습니다.

익숙하지 않은 분들을 위해 설명하자면, Azure Storage 는 데이터를 파일, 디스크, Blob, 큐 또는 테이블로 저장할 수 있는 서비스입니다 . 노출된 데이터에는 암호, 비밀 키 및 30,000개 이상의 내부 Microsoft Teams 메시지가 포함된 두 명의 Microsoft 직원의 개인 백업을 포함하여 38TB의 파일이 포함되었습니다.

구성 오류로 인해 2020년부터 데이터에 액세스할 수 있었습니다. Wiz는 6월 22일 Microsoft에 이 문제를 알렸고 회사는 이틀 후 SAS 토큰을 취소했습니다.

조사 결과 고객 데이터가 관련되지 않은 것으로 나타났습니다. 그러나 노출로 인해 악의적인 행위자가 장기간에 걸쳐 파일을 삭제, 수정하거나 Microsoft 시스템 및 내부 서비스에 삽입할 수 있었을 수 있습니다.

블로그 게시물 에서 Microsoft는 다음과 같이 썼습니다.

이 문제로 인해 고객 데이터가 노출되지 않았으며 다른 내부 서비스도 위험에 처해지지 않았습니다. 이 문제에 대응하여 고객이 취해야 할 조치는 없습니다. 조사 결과 이러한 노출로 인해 고객에게 위험이 발생하지 않는 것으로 결론지었습니다.

Wiz의 연구 결과에 따라 Microsoft는 GitHub의 비밀 검색 서비스를 강화했습니다 . 마이크로소프트 보안 대응 센터는 이제 자격 증명이나 기타 비밀이 일반 텍스트로 노출되는 경우 모든 공개 오픈 소스 코드 수정 사항을 모니터링할 것이라고 밝혔습니다.

TechCrunch와의 인터뷰에서 Wiz 공동 창업자인 Ami Luttwak은 다음과 같이 말했습니다.

AI는 기술 기업에 엄청난 잠재력을 열어줍니다. 그러나 데이터 과학자와 엔지니어가 새로운 AI 솔루션을 프로덕션에 도입하기 위해 경쟁하면서 그들이 처리하는 막대한 양의 데이터에는 추가적인 보안 검사와 보호 조치가 필요합니다.

많은 개발 팀이 엄청난 양의 데이터를 조작하고 이를 동료와 공유하거나 공개 오픈 소스 프로젝트에서 공동 작업해야 하는 상황에서 Microsoft와 같은 사례를 모니터링하고 방지하기가 점점 더 어려워지고 있습니다.

출처: TechCrunch를 통한 Microsoft 보안 대응 센터