Microsoft сливает 38 ТБ личных данных через незащищенное хранилище Azure

Начиная с июля 2020 года исследовательское подразделение Microsoft по искусственному интеллекту случайно слило десятки терабайт конфиденциальных данных, когда размещало модели обучения искусственного интеллекта с открытым исходным кодом в общедоступном репозитории GitHub.

Почти три года спустя это обнаружила компания Wiz, занимающаяся облачной безопасностью, чьи исследователи безопасности обнаружили, что сотрудник Microsoft случайно поделился URL-адресом неправильно настроенной корзины хранилища Azure Blob, содержащей утекшую информацию.

Microsoft связала раскрытие данных с использованием чрезмерно разрешительного токена Shared Access Signature (SAS), который позволял полностью контролировать общие файлы. Эта функция Azure позволяет обмениваться данными способом, который исследователи Wiz считают сложным для мониторинга и отзыва.

При правильном использовании токены подписи общего доступа (SAS) предлагают безопасные средства предоставления делегированного доступа к ресурсам в вашей учетной записи хранения.

Это включает в себя точный контроль над доступом к данным клиента, указание ресурсов, с которыми он может взаимодействовать, определение его разрешений в отношении этих ресурсов и определение срока действия токена SAS.

«Из-за отсутствия мониторинга и управления токены SAS представляют угрозу безопасности, и их использование должно быть максимально ограничено. Эти токены очень сложно отследить, поскольку Microsoft не предоставляет централизованного способа управления ими на портале Azure. ,” Виз предупредил сегодня.

«Кроме того, эти токены можно настроить так, чтобы они работали вечно, без верхнего предела срока их действия. Поэтому использование токенов SAS учетной записи для внешнего совместного использования небезопасно, и его следует избегать».

38 ТБ личных данных, доступных через корзину хранилища Azure.

Исследовательская группа Wiz обнаружила, что помимо моделей с открытым исходным кодом учетная запись внутреннего хранилища также непреднамеренно открывала доступ к дополнительным личным данным объемом 38 ТБ.

Открытые данные включали резервные копии личной информации, принадлежащей сотрудникам Microsoft, включая пароли для служб Microsoft, секретные ключи и архив более 30 000 внутренних сообщений Microsoft Teams, исходящих от 359 сотрудников Microsoft.

В сообщении, опубликованном в понедельник командой Microsoft Security Response Center (MSRC), говорится: Microsoft сказала что никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подверглись опасности из-за этого инцидента.

Wiz сообщил об инциденте в MSRC 22 июня 2023 г., который отозвал токен SAS, чтобы заблокировать весь внешний доступ к учетной записи хранения Azure, что устранило проблему 24 июня 2023 г.

«ИИ открывает огромный потенциал для технологических компаний. Однако, поскольку ученые и инженеры, работающие с данными, стремятся внедрить в производство новые решения ИИ, огромные объемы данных, которые они обрабатывают, требуют дополнительных проверок безопасности и мер безопасности», — сказала BleepingComputer технический директор и соучредитель Wiz Ами Латтвак.

«Эта новая технология требует больших наборов данных для обучения. Поскольку многим командам разработчиков приходится манипулировать огромными объемами данных, делиться ими со своими коллегами или сотрудничать в общедоступных проектах с открытым исходным кодом, такие случаи, как Microsoft, становится все труднее отслеживать и избегать. “