Badacze firmy Microsoft wyciekli 38 TB wrażliwych danych z powodu źle skonfigurowanej pamięci w GitHubie

Ponieważ projekty AI obejmują ogromne zbiory danych, przypadkowe narażenia stają się coraz częstsze w miarę wymiany danych między zespołami. Niedawno zgłoszono, że Microsoft przypadkowo ujawnił „dziesiątki terabajtów” wrażliwych danych wewnętrznych w Internecie z powodu źle skonfigurowanych ustawień dostępu do pamięci w chmurze.

Firma Wiz zajmująca się bezpieczeństwem w chmurze odkryła, że ​​kontener usługi Azure Storage połączony z repozytorium GitHub używany przez badaczy sztucznej inteligencji firmy Microsoft miał przypisany token sygnatury dostępu współdzielonego (SAS) o zbyt restrykcyjnym charakterze. Dzięki temu każdy, kto uzyskał dostęp do adresu URL magazynu, miał pełną kontrolę nad wszystkimi danymi na całym koncie magazynu.

Dla tych, którzy nie są zaznajomieni, Azure Storage to usługa umożliwiająca przechowywanie danych w postaci pliku, dysku, obiektu BLOB, kolejki lub tabeli. Ujawnione dane obejmowały 38 terabajtów plików, w tym osobiste kopie zapasowe dwóch pracowników Microsoft, zawierające hasła, tajne klucze i ponad 30 000 wewnętrznych wiadomości Microsoft Teams.

Dane były dostępne od 2020 r. ze względu na błędną konfigurację. Wiz powiadomił Microsoft o problemie 22 czerwca, a firma unieważniła token SAS dwa dni później.

Dochodzenie wykazało, że w grę nie wchodziły żadne dane klientów. Jednak narażenie mogło umożliwić złośliwym podmiotom usuwanie, modyfikowanie lub wstrzykiwanie plików do systemów i usług wewnętrznych firmy Microsoft przez dłuższy czas.

W poście na blogu Microsoft napisał;

Z powodu tego problemu nie zostały ujawnione żadne dane klientów ani żadne inne usługi wewnętrzne nie były zagrożone. W odpowiedzi na ten problem nie są wymagane żadne działania ze strony klienta… Nasze dochodzenie wykazało, że narażenie to nie stanowiło żadnego ryzyka dla klientów.

W odpowiedzi na wnioski z badań Wiz, Microsoft ulepszył tajną usługę skanowania GitHub. Centrum reagowania na bezpieczeństwo Microsoftu oświadczyło, że będzie teraz monitorować wszystkie publiczne modyfikacje kodu open source pod kątem przypadków ujawnienia danych uwierzytelniających lub innych tajemnic w postaci zwykłego tekstu.

W wywiadzie dla TechCrunch współzałożyciel Wiza, Ami Luttwak, powiedział;

Sztuczna inteligencja uwalnia ogromny potencjał dla firm technologicznych. Jednak w miarę jak naukowcy i inżynierowie danych ścigają się, aby wprowadzić do produkcji nowe rozwiązania AI, ogromne ilości danych, którymi operują, wymagają dodatkowych kontroli i zabezpieczeń.

Ponieważ wiele zespołów programistycznych musi manipulować ogromnymi ilościami danych, udostępniać je innym osobom lub współpracować przy publicznych projektach open source, przypadki takie jak Microsoft są coraz trudniejsze do monitorowania i uniknięcia.

Źródło: Centrum reagowania na bezpieczeństwo firmy Microsoft za pośrednictwem TechCrunch