Ένας ερευνητής τεχνητής νοημοσύνης της Microsoft διέρρευσε κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων μυστικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσε έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε μια έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε το αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρέχει κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz ανακάλυψε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να δίνει άδεια πρόσβασης σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος περαιτέρω προσωπικά δεδομένα.
Τα δεδομένα περιλάμβαναν κωδικούς πρόσβασης για υπηρεσίες της Microsoft, μυστικά κλειδιά και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Σύμφωνα με την Wiz, οι διευθύνσεις URL στις οποίες δημοσιεύθηκαν αυτά τα δεδομένα μετά το 2020 είχαν ρυθμιστεί λανθασμένα ώστε να επιτρέπουν δικαιώματα “Πλήρους ελέγχου” αντί για “Μόνο για ανάγνωση”, γεγονός που θα μπορούσε να επιτρέψει σε οποιονδήποτε ήξερε πού να κοιτάξει να διαγράψει, να αντικαταστήσει ή να εισάγει κακόβουλο περιεχόμενο Η εταιρεία δήλωσε ότι αυτό συνέβη.
Η Wiz επισημαίνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος- τα SAS tokens είναι ένας μηχανισμός της Azure που επιτρέπει στους χρήστες να δημιουργούν κοινόχρηστους συνδέσμους για πρόσβαση σε δεδομένα στο λογαριασμό τους Azure Storage.
Η Wiz κοινοποίησε τα ευρήματά της στη Microsoft στις 22 Ιουνίου και η Microsoft δήλωσε ότι συνέλεξε τα κουπόνια SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια ανάρτηση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι “δεν εκτέθηκαν δεδομένα πελατών ως αποτέλεσμα αυτού του προβλήματος και δεν παραβιάστηκαν άλλες εσωτερικές υπηρεσίες.“ Ως αποτέλεσμα της έρευνας της Wiz, η Microsoft επιβεβαίωσε ότι το GitHub ‘s Secret Spanning Service, η οποία, όπως είπε, είχε επεκταθεί. Η υπηρεσία παρακολουθεί τις αλλαγές σε όλους τους δημόσιους κώδικες ανοικτού κώδικα και δημοσιεύει διαπιστευτήρια και άλλα μυστικά σε απλό κείμενο, συμπεριλαμβανομένων των μαρκών SAS που ενδέχεται να έχουν υπερβολικά επιτρεπτικές ημερομηνίες λήξης και δικαιώματα.
Ο Anastasis είναι ένας από τους κορυφαίους αρθρογράφους μας, ειδικευμένος σε θέματα κυβερνοασφάλειας.
Με την εμπειρία του, παρέχει στην κοινότητα πολύτιμες γνώσεις και συμβουλές.