Pesquisadores da Microsoft vazam 38 TB de dados confidenciais devido a armazenamento mal configurado no GitHub

Como os projetos de IA envolvem conjuntos de dados massivos, as exposições acidentais tornam-se mais comuns à medida que os dados são partilhados entre as equipas. Recentemente, foi relatado que a Microsoft expôs acidentalmente “dezenas de terabytes” de dados internos confidenciais online devido a uma configuração incorreta de acesso ao armazenamento em nuvem.

A empresa de segurança em nuvem Wiz descobriu que um contêiner de armazenamento do Azure vinculado a um repositório GitHub usado por pesquisadores de IA da Microsoft tinha um token de assinatura de acesso compartilhado (SAS) excessivamente permissivo atribuído. Isso permitiu que qualquer pessoa que acessasse a URL de armazenamento tivesse controle total sobre todos os dados de toda a conta de armazenamento.

Para quem não conhece, o Azure Storage é um serviço que permite armazenar dados como arquivo, disco, blob, fila ou tabela. Os dados expostos incluíam 38 terabytes de arquivos, incluindo backups pessoais de dois funcionários da Microsoft contendo senhas, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams.

Os dados estavam acessíveis desde 2020 devido à configuração incorreta. Wiz notificou a Microsoft sobre o problema em 22 de junho, e a empresa revogou o token SAS dois dias depois.

Uma investigação descobriu que nenhum dado do cliente estava envolvido. No entanto, a exposição poderia ter permitido que agentes mal-intencionados excluíssem, modificassem ou injetassem arquivos nos sistemas e serviços internos da Microsoft durante um período prolongado.

Em uma postagem no blog , a Microsoft escreveu;

Nenhum dado do cliente foi exposto e nenhum outro serviço interno foi colocado em risco devido a esse problema. Nenhuma ação do cliente é necessária em resposta a esse problema… Nossa investigação concluiu que não havia risco para os clientes como resultado dessa exposição.

Em resposta às descobertas da pesquisa de Wiz, a Microsoft aprimorou o serviço de verificação secreta do GitHub. O Centro de Resposta de Segurança da Microsoft disse que agora monitorará todas as modificações públicas de código-fonte aberto para casos em que credenciais ou outros segredos sejam expostos como texto simples.

Em entrevista ao TechCrunch, o cofundador do Wiz, Ami Luttwak, disse;

A IA revela um enorme potencial para empresas de tecnologia. No entanto, à medida que os cientistas e engenheiros de dados correm para trazer novas soluções de IA para a produção, as enormes quantidades de dados que controlam exigem verificações e salvaguardas de segurança adicionais.

Com muitas equipes de desenvolvimento precisando manipular grandes quantidades de dados, compartilhá-los com colegas ou colaborar em projetos públicos de código aberto, casos como o da Microsoft são cada vez mais difíceis de monitorar e evitar.

Fonte: Centro de Resposta de Segurança da Microsoft via TechCrunch