Το ερευνητικό τμήμα AI της Microsoft διέρρευσε κατά λάθος δεκάδες terabyte ευαίσθητων δεδομένων ξεκινώντας τον Ιούλιο του 2020, ενώ συνεισέφερε μοντέλα εκμάθησης τεχνητής νοημοσύνης ανοιχτού κώδικα σε ένα δημόσιο αποθετήριο GitHub.
Σχεδόν τρία χρόνια αργότερα, αυτό ανακαλύφθηκε από την εταιρεία ασφάλειας cloud Wiz, της οποίας οι ερευνητές ασφαλείας διαπίστωσαν ότι ένας υπάλληλος της Microsoft μοιράστηκε κατά λάθος τη διεύθυνση URL για έναν εσφαλμένα διαμορφωμένο κάδο αποθήκευσης Azure Blob που περιείχε τις πληροφορίες που διέρρευσαν.
Η Microsoft συνέδεσε την έκθεση δεδομένων με τη χρήση ενός εξαιρετικά επιτρεπτού διακριτικού Shared Access Signature (SAS), το οποίο επέτρεπε τον πλήρη έλεγχο των κοινόχρηστων αρχείων. Αυτή η δυνατότητα Azure επιτρέπει την κοινή χρήση δεδομένων με τρόπο που περιγράφεται από τους ερευνητές του Wiz ως πρόκληση για την παρακολούθηση και την ανάκληση.
Όταν χρησιμοποιούνται σωστά, τα διακριτικά Shared Access Signature (SAS) προσφέρουν ένα ασφαλές μέσο εκχώρησης πρόσβασης σε πόρους εντός του αποθηκευτικού σας λογαριασμού.
Αυτό περιλαμβάνει τον ακριβή έλεγχο της πρόσβασης στα δεδομένα του πελάτη, τον καθορισμό των πόρων με τους οποίους μπορούν να αλληλεπιδράσουν, τον καθορισμό των αδειών τους σχετικά με αυτούς τους πόρους και τον προσδιορισμό της διάρκειας ισχύος του διακριτικού SAS.
“Λόγω έλλειψης παρακολούθησης και διακυβέρνησης, τα διακριτικά SAS αποτελούν κίνδυνο για την ασφάλεια και η χρήση τους θα πρέπει να είναι όσο το δυνατόν περιορισμένη. Αυτά τα διακριτικά είναι πολύ δύσκολο να εντοπιστούν, καθώς η Microsoft δεν παρέχει έναν κεντρικό τρόπο διαχείρισής τους εντός της πύλης Azure », προειδοποίησε ο Wiz σήμερα.
“Επιπλέον, αυτά τα διακριτικά μπορούν να ρυθμιστούν ώστε να διαρκούν αποτελεσματικά για πάντα, χωρίς ανώτατο όριο στον χρόνο λήξης τους. Επομένως, η χρήση διακριτικών SAS λογαριασμού για εξωτερική κοινή χρήση δεν είναι ασφαλής και θα πρέπει να αποφεύγεται.”
38 TB ιδιωτικών δεδομένων που εκτίθενται μέσω του κάδου αποθήκευσης Azure
Η ερευνητική ομάδα του Wiz διαπίστωσε ότι εκτός από τα μοντέλα ανοιχτού κώδικα, ο λογαριασμός εσωτερικού χώρου αποθήκευσης επέτρεψε επίσης ακούσια πρόσβαση σε πρόσθετα ιδιωτικά δεδομένα αξίας 38 TB.
Τα εκτεθειμένα δεδομένα περιελάμβαναν αντίγραφα ασφαλείας προσωπικών πληροφοριών που ανήκουν σε υπαλλήλους της Microsoft, συμπεριλαμβανομένων κωδικών πρόσβασης για υπηρεσίες της Microsoft, μυστικών κλειδιών και αρχείου με περισσότερα από 30.000 εσωτερικά μηνύματα του Microsoft Teams που προέρχονται από 359 υπαλλήλους της Microsoft.
Σε μια συμβουλή τη Δευτέρα από την ομάδα του Microsoft Security Response Center (MSRC), είπε η Microsoft ότι δεν εκτέθηκαν δεδομένα πελατών και καμία άλλη εσωτερική υπηρεσία δεν κινδύνευσε λόγω αυτού του συμβάντος.
Η Wiz ανέφερε το περιστατικό στο MSRC στις 22 Ιουνίου 2023, το οποίο ανακάλεσε το διακριτικό SAS για να αποκλείσει κάθε εξωτερική πρόσβαση στον αποθηκευτικό λογαριασμό Azure, μετριάζοντας το πρόβλημα στις 24 Ιουνίου 2023.
“Η τεχνητή νοημοσύνη ξεκλειδώνει τεράστιες δυνατότητες για τις εταιρείες τεχνολογίας. Ωστόσο, καθώς οι επιστήμονες και οι μηχανικοί δεδομένων αγωνίζονται να φέρουν νέες λύσεις τεχνητής νοημοσύνης στην παραγωγή, οι τεράστιες ποσότητες δεδομένων που χειρίζονται απαιτούν πρόσθετους ελέγχους ασφαλείας και διασφαλίσεις”, δήλωσε στο BleepingComputer η CTO και συνιδρυτής της Wiz, Ami Luttwak.
“Αυτή η αναδυόμενη τεχνολογία απαιτεί μεγάλα σύνολα δεδομένων για εκπαίδευση. Καθώς πολλές ομάδες ανάπτυξης χρειάζονται να χειριστούν τεράστιες ποσότητες δεδομένων, να τις μοιραστούν με τους συνομηλίκους τους ή να συνεργαστούν σε δημόσια έργα ανοιχτού κώδικα, περιπτώσεις όπως της Microsoft είναι όλο και πιο δύσκολο να παρακολουθηθούν και να αποφευχθούν. “
