Λένε ό
τι
η εσφαλμένη διαμόρφωση του αποθηκευτικού χώρου στο cloud είναι η κύρια αιτία διαρροών δεδομένων αυτές τις μέρες και η πιο πρόσφατη παράλειψη της
Microsoft
είναι το τέλειο παράδειγμα.
Ερευνητές
κυβερνοασφάλεια
ς από
Wiz
ανακάλυψε μια τεράστια, ξεκλείδωτη βάση δεδομένων, που φιλοξενούσε ευαίσθητες πληροφορίες για εκατοντάδες άτομα, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης.
Η βάση δεδομένων, όπως αποδείχθηκε, ανήκε στους ερευνητές της Microsoft που εργάζονται στην Τεχνητή Νοημοσύνη (AI). Τα καλά νέα είναι ότι η βάση δεδομένων κλειδώθηκε πριν προλάβουν οι χάκερ να φτάσουν σε αυτήν.
Ωχ! Το κακό μας
Όπως εξήγησαν οι ερευνητές του Wiz, διερεύνησαν την τυχαία έκθεση δεδομένων που φιλοξενείτο στο cloud όταν βρήκαν ένα αποθετήριο Microsoft GitHub με κώδικα ανοιχτού κώδικα για μοντέλα τεχνητής νοημοσύνης, που θα χρησιμοποιηθεί για την αναγνώριση εικόνων. Τα μοντέλα φιλοξενούνταν σε μια διεύθυνση URL αποθήκευσης Azure, αλλά λόγω προφανούς ανθρώπινου λάθους, η αποθήκευση περιείχε επίσης δεδομένα στα οποία κανείς δεν έπρεπε να έχει πρόσβαση.
Αυτά τα δεδομένα περιλαμβάνουν 38 terabyte πληροφοριών, συμπεριλαμβανομένων αντιγράφων ασφαλείας δύο υπολογιστών εργαζομένων της Microsoft, κωδικών πρόσβασης στις
υπηρεσίες
της Microsoft και περισσότερα από 30.000 μηνύματα συνομιλίας του Teams που ανταλλάσσονται από υπαλλήλους της Microsoft. Ο λογαριασμός αποθήκευσης δεν ήταν άμεσα προσβάσιμος, εξήγησαν οι ερευνητές. Αντίθετα, η ομάδα τεχνητής νοημοσύνης της Microsoft δημιούργησε ένα κοινόχρηστο διακριτικό υπογραφής πρόσβασης (SAS) που παρείχε πάρα πολλά δικαιώματα. Με τα διακριτικά SAS, εξηγεί το TechCrunch, οι χρήστες του Azure μπορούν να δημιουργήσουν συνδέσμους με δυνατότητα κοινής χρήσης για δεδομένα λογαριασμού Azure Storage.
Η Wiz ενημέρωσε τη Microsoft για τα ευρήματά της στις 22 Ιουνίου και το διακριτικό SAS ανακλήθηκε δύο ημέρες αργότερα. Η εταιρεία χρειάστηκε σχεδόν τρεις εβδομάδες για να εκτελέσει μια ενδελεχή έρευνα, μετά την οποία κατέληξε στο συμπέρασμα ότι τα δεδομένα δεν είχαν πρόσβαση από κανένα μη εξουσιοδοτημένο τρίτο μέρος,
είπε το TechCrunch
.
Για να διασφαλίσει ότι αυτά τα πράγματα δεν θα επαναληφθούν, η Microsoft επέκτεινε τη μυστική υπηρεσία του GitHub, η οποία παρακολουθεί όλες τις αλλαγές
δημόσιο
υ κώδικα ανοιχτού κώδικα για διαπιστευτήρια και άλλα μυστικά που εκτίθενται σε απλό κείμενο.
Δυστυχώς, οι μη ασφαλείς βάσεις δεδομένων είναι σύνηθες φαινόμενο. Νωρίτερα φέτος, μια σχετικά δημοφιλής εφαρμογή φωνητικής συνομιλίας Android, το OyeTalk, έκανε το ίδιο πράγμα. Χρησιμοποιούσε την πλατφόρμα ανάπτυξης εφαρμογών για κινητά Firebase της Google, η οποία προσφέρει επίσης βάσεις δεδομένων που φιλοξενούνται στο cloud. Σύμφωνα με ερευνητές από το Cybernews, το παράδειγμα Firebase του OyeTalk δεν προστατεύονταν με κωδικό πρόσβασης, πράγμα που σημαίνει ότι το περιεχόμενό του ήταν διαθέσιμο για όλους.