Η Microsoft διαρρέει 38TB ιδιωτικών δεδομένων

[deniSun]

Το τμήμα έρευνας τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων από τον Ιούλιο του 2020, ενώ συνεισέφερε μοντέλα μάθησης τεχνητής νοημοσύνης ανοικτού κώδικα σε δημόσιο αποθετήριο GitHub.

Σχεδόν τρία χρόνια αργότερα, αυτό ανακαλύφθηκε από την εταιρεία ασφάλειας cloud Wiz, οι ερευνητές ασφαλείας της οποίας διαπίστωσαν ότι ένας υπάλληλος της Microsoft μοιράστηκε κατά λάθος τη διεύθυνση URL για έναν λάθος ρυθμισμένο Azure Blob storage bucket που περιείχε τις πληροφορίες που διέρρευσαν.

Η Microsoft συνέδεσε την έκθεση των δεδομένων με τη χρήση ενός υπερβολικά επιτρεπτού token Shared Access Signature (SAS), το οποίο επέτρεπε τον πλήρη έλεγχο των κοινόχρηστων αρχείων. Αυτή η λειτουργία του Azure επιτρέπει την κοινή χρήση δεδομένων με τρόπο που περιγράφεται από τους ερευνητές της Wiz ως δύσκολη στην παρακολούθηση και την ανάκληση.

Όταν χρησιμοποιούνται σωστά, τα διακριτικά υπογραφής κοινής πρόσβασης (SAS) προσφέρουν ένα ασφαλές μέσο χορήγησης εξουσιοδοτημένης πρόσβασης σε πόρους εντός του λογαριασμού αποθήκευσης.

Αυτό περιλαμβάνει ακριβή έλεγχο της πρόσβασης των πελατών σε δεδομένα, προσδιορίζοντας τους πόρους με τους οποίους μπορούν να αλληλεπιδράσουν, καθορίζοντας τα δικαιώματά τους σχετικά με αυτούς τους πόρους και καθορίζοντας τη διάρκεια ισχύος του token SAS.

"Λόγω της έλλειψης παρακολούθησης και διακυβέρνησης, τα token SAS ενέχουν κίνδυνο για την ασφάλεια και η χρήση τους θα πρέπει να είναι όσο το δυνατόν πιο περιορισμένη. Αυτά τα tokens είναι πολύ δύσκολο να παρακολουθηθούν, καθώς η Microsoft δεν παρέχει έναν κεντρικό τρόπο διαχείρισής τους εντός της πύλης Azure", προειδοποίησε σήμερα η Wiz.

"Επιπλέον, αυτά τα tokens μπορούν να ρυθμιστούν ώστε να διαρκούν ουσιαστικά για πάντα, χωρίς ανώτατο όριο στον χρόνο λήξης τους. Ως εκ τούτου, η χρήση tokens Account SAS για εξωτερική κοινή χρήση δεν είναι ασφαλής και θα πρέπει να αποφεύγεται".

Η ερευνητική ομάδα Wiz διαπίστωσε ότι εκτός από τα μοντέλα ανοιχτού κώδικα, ο εσωτερικός λογαριασμός αποθήκευσης επέτρεψε επίσης κατά λάθος την πρόσβαση σε πρόσθετα προσωπικά δεδομένα αξίας 38 TB.

Τα εκτεθειμένα δεδομένα περιλάμβαναν αντίγραφα ασφαλείας προσωπικών πληροφοριών που ανήκαν σε υπαλλήλους της Microsoft, συμπεριλαμβανομένων κωδικών πρόσβασης για υπηρεσίες της Microsoft, μυστικών κλειδιών και ενός αρχείου με πάνω από 30.000 εσωτερικά μηνύματα της Microsoft Teams που προέρχονταν από 359 υπαλλήλους της Microsoft.

Σε μια συμβουλευτική ανακοίνωση που εξέδωσε τη Δευτέρα η ομάδα Microsoft Security Response Center (MSRC), η Microsoft δήλωσε ότι δεν εκτέθηκαν δεδομένα πελατών και ότι δεν κινδύνευσαν άλλες εσωτερικές υπηρεσίες λόγω του περιστατικού αυτού.

Η Wiz ανέφερε το περιστατικό στο MSRC στις 22 Ιουνίου 2023, το οποίο ανακάλεσε το SAS token για να αποκλείσει κάθε εξωτερική πρόσβαση στο λογαριασμό αποθήκευσης Azure, μετριάζοντας το πρόβλημα στις 24 Ιουνίου 2023.

"Η τεχνητή νοημοσύνη ξεκλειδώνει τεράστιες δυνατότητες για τις εταιρείες τεχνολογίας. Ωστόσο, καθώς οι επιστήμονες δεδομένων και οι μηχανικοί τρέχουν για να φέρουν νέες λύσεις AI στην παραγωγή, οι τεράστιες ποσότητες δεδομένων που διαχειρίζονται απαιτούν πρόσθετους ελέγχους ασφαλείας και διασφαλίσεις", δήλωσε στο BleepingComputer ο Ami Luttwak, CTO & συνιδρυτής της Wiz.

"Αυτή η αναδυόμενη τεχνολογία απαιτεί μεγάλα σύνολα δεδομένων για την εκπαίδευσή της. Με πολλές ομάδες ανάπτυξης να χρειάζεται να χειρίζονται τεράστιες ποσότητες δεδομένων, να τις μοιράζονται με τους συναδέλφους τους ή να συνεργάζονται σε δημόσια έργα ανοιχτού κώδικα, περιπτώσεις όπως της Microsoft είναι όλο και πιο δύσκολο να παρακολουθούνται και να αποφεύγονται".

πηγή
auto translate via DeepL.

[Zus]