Yπάλληλοι της Microsoft διέρρευσαν 38TB προσωπικών δεδομένων

0
2

Ερευνητές κυβερνοασφάλειας από τη Wiz ανακάλυψαν μια τεράστια, ξεκλείδωτη βάση δεδομένων αποθήκευσης cloud του Microsoft Azure, που φιλοξενεί ευαίσθητες πληροφορίες για εκατοντάδες άτομα, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης.

Η βάση δεδομένων, όπως αποδείχθηκε, ανήκε στους ερευνητές της Microsoft που εργάζονται στην Τεχνητή Νοημοσύνη και ευτυχώς κλειδώθηκε προτού προλάβουν χάκερ να εισέλθουν σε αυτή.

Σύμφωνα με τους ερευνητές, έκαναν έλεγχο για τυχαία έκθεση δεδομένων στο cloud όταν βρήκαν ένα Microsoft GitHub με ανοιχτό κώδικα για μοντέλα ΑΙ, που θα χρησιμοποιούσαν για αναγνώριση εικόνων. Τα μοντέλα φιλοξενούνταν σε μια διεύθυνση URL αποθήκευσης Azure, αλλά λόγω προφανούς ανθρώπινου λάθους, η αποθήκευση περιείχε επίσης δεδομένα στα οποία κανείς δεν έπρεπε να έχει πρόσβαση.

Aυτά τα απόρρητα δεδομένα περιλαμβάνουν 38 terabyte πληροφοριών, συμπεριλαμβανομένων αντιγράφων ασφαλείας δύο υπολογιστών εργαζομένων της Microsoft, κωδικών πρόσβασης στις υπηρεσίες της Microsoft και περισσότερα από 30.000 μηνύματα συνομιλίας Teams που ανταλλάσσονται από υπαλλήλους της Microsoft. Ο λογαριασμός αποθήκευσης δεν ήταν άμεσα προσβάσιμος, εξήγησαν οι ερευνητές. Αντίθετα, η ομάδα τεχνητής νοημοσύνης της Microsoft δημιούργησε ένα κοινόχρηστο διακριτικό υπογραφής πρόσβασης (SAS) που παρείχε πάρα πολλά δικαιώματα. Με τα διακριτικά SAS, οι χρήστες του Azure μπορούν να δημιουργήσουν συνδέσμους με δυνατότητα κοινής χρήσης για δεδομένα λογαριασμού Azure Storage.

Η ερευνητική εταιρεία ενημέρωσε σχετικά τη Microsoft στις 22 Ιουνίου και το διακριτικό SAS ανακλήθηκε δύο ημέρες αργότερα. Η εταιρεία χρειάστηκε σχεδόν τρεις εβδομάδες για να εκτελέσει μια ενδελεχή έρευνα, μετά την οποία κατέληξε στο συμπέρασμα ότι τα δεδομένα δεν είχαν πρόσβαση από μη εξουσιοδοτημένα τρίτα μέρη.

Για να αποφευχθεί κάποια αντίστοιχη κατάσταση στο μέλλον, η Microsoft επέκτεινε τη μυστική υπηρεσία του GitHub, η οποία παρακολουθεί όλες τις αλλαγές δημόσιου ανοιχτού κώδικα για διαπιστευτήρια και άλλα μυστικά που εκτίθενται σε απλό κείμενο.

Πηγή