Служител на Microsoft случайно е разкрил 38 терабайта лични данни, докато е публикувал данни за обучение по изкуствен интелект с отворен код в GitHub, твърдят изследователи по сигурността от Wiz.
Те са забелязали изтичането на данни и са докладвали за това на гиганта Windows.
А Редмънд, в писание от понеделник, омаловажи грешката и заяви, че просто „споделя поуките“, за да помогне на клиентите да избегнат подобни грешки. Това се случва въпреки твърдението на Wiz, че в кофата с изтекли данни е имало частни ключове, пароли и над 30 000 вътрешни съобщения в Microsoft Teams.
Както и резервни копия на данни от работните станции на двама служители.
Никакви данни на клиенти не са били изложени на риск и никакви други вътрешни услуги не са били изложени на риск поради този проблем. Не се изискват действия от страна на клиентите в отговор на този проблем.
Заяви екипът на Центъра за реагиране на сигурността на Microsoft.
В доклад, публикуван в понеделник, изследователите на Wiz Хилай Бен-Сасон и Рони Гринберг описват подробно случилото се. Докато сканирали за неправилно конфигурирани контейнери за съхранение, те попаднали на хранилище в GitHub, принадлежащо на изследователския екип на Microsoft AI.
То предоставя отворен код и модели за машинно обучение за разпознаване на изображения.
Това хранилище е съдържало URL адрес с прекалено разрешителен токен за споделен подпис за достъп (SAS) за вътрешен акаунт за съхранение в Azure, собственост на Microsoft, съдържащ частни данни.
SAS токенът е подписан URL адрес, който предоставя определено ниво на достъп до ресурсите на Azure Storage. Потребителят може да персонализира нивото на достъп – от само за четене до пълен контрол, а в този случай SAS токенът е бил неправилно конфигуриран с разрешения за пълен контрол.
Това не само е дало възможност на екипа на Wiz – и на потенциално по-недобросъвестни шпиони – да преглеждат всичко в акаунта за съхранение, но също така са могли да изтрият или променят съществуващи файлове.
Нашето сканиране показва, че този акаунт е съдържал 38 TB допълнителни данни – включително резервни копия на личните компютри на служителите на Microsoft. Резервните копия съдържаха чувствителни лични данни, включително пароли за услуги на Microsoft, секретни ключове и над 30 000 вътрешни съобщения в Microsoft Teams от 359 служители на Microsoft.
Казват Бен-Сасон и Грийнбърг.
От своя страна Microsoft твърди, че резервните копия на личните компютри са принадлежали на двама бивши служители. След като са били уведомени за разкриването на 22 юни, от Редмънд казват, че са отнели маркера SAS, за да предотвратят всякакъв външен достъп до акаунта за съхранение, и са запушили теча на 24 юни.
След това беше проведено допълнително разследване, за да се разбере всяко потенциално въздействие върху нашите клиенти и/или непрекъснатостта на бизнеса. Нашето разследване стигна до заключението, че няма риск за клиентите в резултат на това излагане на риск.
Се казва в доклада на MSRC.
Също така в писмения доклад Редмънд препоръча серия от най-добри практики за SAS, за да се сведе до минимум рискът от прекалено разрешаващи токени.
Това включва ограничаване на обхвата на URL адресите до най-малкия набор от необходими ресурси, както и ограничаване на разрешенията само до тези, които са необходими за приложението.
Съществува и функция, която позволява на потребителите да задават срок на валидност, като Microsoft препоръчва един час или по-малко за SAS URL адресите.
И накрая, Редмънд обещава да се справи по-добре със своята част от нещата:
Microsoft също така прави постоянни подобрения в нашия набор от инструменти за откриване и сканиране, за да идентифицира проактивно такива случаи на свръхпредоставени SAS URL адреси и да засили нашата сигурност по подразбиране.