Microsoft-onderzoekers lekken 38 TB aan gevoelige gegevens vanwege verkeerd geconfigureerde opslag op GitHub

Omdat AI-projecten enorme datasets omvatten, komen accidentele blootstellingen steeds vaker voor naarmate gegevens tussen teams worden gedeeld. Onlangs is gemeld dat Microsoft per ongeluk “tientallen terabytes” aan gevoelige interne gegevens online heeft gezet vanwege een verkeerd geconfigureerde toegangsinstelling voor cloudopslag.

Cloudbeveiligingsbedrijf Wiz ontdekte dat aan een Azure-opslagcontainer die was gekoppeld vanuit een GitHub-repository die door Microsoft AI-onderzoekers werd gebruikt, een overdreven toegeeflijk SAS-token (shared-access-signature) was toegewezen. Hierdoor kreeg iedereen die toegang had tot de opslag-URL volledige controle over alle gegevens in het gehele opslagaccount.

Voor degenen die niet bekend zijn: Azure Storage is een service waarmee u gegevens kunt opslaan als bestand, schijf, blob, wachtrij of tabel. De blootgestelde gegevens omvatten 38 terabytes aan bestanden, waaronder de persoonlijke back-ups van twee Microsoft-medewerkers met wachtwoorden, geheime sleutels en meer dan 30.000 interne Microsoft Teams-berichten.

De gegevens waren sinds 2020 toegankelijk vanwege de verkeerde configuratie. Wiz bracht Microsoft op 22 juni op de hoogte van het probleem en het bedrijf trok het SAS-token twee dagen later in.

Uit onderzoek bleek dat er geen sprake was van klantgegevens. Door de blootstelling hadden kwaadwillende actoren echter gedurende langere tijd bestanden in de systemen en interne diensten van Microsoft kunnen verwijderen, wijzigen of injecteren.

In een blogpost schreef Microsoft;

Er zijn geen klantgegevens openbaar gemaakt en er zijn geen andere interne diensten in gevaar gekomen als gevolg van dit probleem. Er is geen actie van de klant vereist als reactie op dit probleem… Ons onderzoek heeft geconcludeerd dat er geen risico voor klanten bestond als gevolg van deze blootstelling.

Als reactie op de bevindingen uit het onderzoek van Wiz heeft Microsoft de geheime scanservice van GitHub verbeterd . Het Security Response Center van Microsoft zei dat het nu alle wijzigingen in de openbare open-sourcecode zal monitoren voor gevallen waarin inloggegevens of andere geheimen als platte tekst worden weergegeven.

In een interview met TechCrunch zei Wiz-medeoprichter Ami Luttwak;

AI ontsluit een enorm potentieel voor technologiebedrijven. Terwijl datawetenschappers en -ingenieurs zich echter haasten om nieuwe AI-oplossingen in productie te nemen, vereisen de enorme hoeveelheden gegevens die zij verwerken extra veiligheidscontroles en waarborgen.

Omdat veel ontwikkelingsteams enorme hoeveelheden gegevens moeten manipuleren, deze moeten delen met hun collega’s of moeten samenwerken aan openbare open source-projecten, worden gevallen zoals die van Microsoft steeds moeilijker te controleren en te vermijden.

Bron: Microsoft’s Security Response Center via TechCrunch