Сотрудник Microsoft случайно раскрыл 38 терабайт конфиденциальных данных из-за ошибки GitHub • Журнал

По словам исследователей безопасности из Wiz, которые обнаружили утечку учетной записи и сообщили об этом гиганту Windows, сотрудник Microsoft случайно раскрыл 38 терабайт личных данных при публикации набора данных для обучения искусственному интеллекту с открытым исходным кодом на GitHub.

В статье, опубликованной в понедельник, Редмонд преуменьшил значение этой ошибки и сказал, что он просто «делился извлеченными уроками», чтобы помочь клиентам избежать подобных ошибок. И это несмотря на то, что Wiz утверждает, что утекший набор данных содержал закрытые ключи, пароли и более 30 000 внутренних сообщений Microsoft Teams, а также резервные копии данных с двух рабочих станций сотрудников.

«Никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не были скомпрометированы этой проблемой», — команда Microsoft Security Response Center. Он сказал. «В ответ на эту проблему никаких действий со стороны клиента не требуется».

в отчет В публикации, опубликованной в понедельник, исследователи Waze Хилаи Бен-Сассон и Ронни Гринберг подробно рассказали, что произошло. В поисках неправильно сконфигурированных контейнеров хранения они наткнулись на репозиторий GitHub исследовательской группы Microsoft AI, который предоставляет открытый исходный код и модели машинного обучения для распознавания изображений.

Этот репозиторий содержит URL-адрес, содержащий сверхтолерантный токен подписи общего доступа (SAS) для локальной учетной записи хранения Azure, принадлежащей Microsoft, которая содержит личные данные.

а Код САС URL-адрес местоположения, предоставляющий определенный уровень доступа к ресурсам хранилища Azure. Пользователь может настроить уровень доступа: от «Только чтение» до «Полный доступ», и в этом случае код SAS был неправильно настроен с разрешениями «Полный доступ».

Это не только дало команде Wiz — и, возможно, более зловещим хакерам — возможность просматривать все, что находится в учетной записи хранения, но также стало возможным удалять или изменять существующие файлы.

«Наша проверка показывает, что эта учетная запись содержит 38 терабайт дополнительных данных, включая резервные копии компьютеров сотрудников Microsoft», — заявили Бен-Сассон и Гринберг. «Резервные копии содержали конфиденциальные личные данные, включая пароли для служб Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft».

Microsoft, со своей стороны, утверждает, что резервные копии ПК принадлежат двум бывшим сотрудникам. После того, как Редмонд был уведомлен о разоблачении 22 июня, он заявил, что отозвал код SAS, чтобы предотвратить любой внешний доступ к учетной записи хранения, и закрыл утечку 24 июня.

«Затем было проведено дополнительное расследование, чтобы понять любое потенциальное влияние на наших клиентов и/или непрерывность бизнеса», — говорится в отчете MSRC. «Наше расследование пришло к выводу, что в результате этого воздействия риска для клиентов не было».

Также в статье Редмонд рекомендовал SAS ряд передовых методов снижения рисков, связанных с чрезмерно мягкими токенами. Это включает в себя ограничение объема URL-адресов до наименьшего набора необходимых ресурсов, а также ограничение разрешений только теми, которые необходимы приложению.

Существует также функция, которая позволяет пользователям устанавливать срок действия, и Microsoft рекомендует для URL-адресов SAS не более одного часа. Это хороший совет, и очень жаль, что Редмонд в данном случае не съел свой собственный собачий корм.

Наконец, Редмонд обещает более высокую производительность на внутренней стороне: «Microsoft также постоянно совершенствует наш набор инструментов обнаружения и проверки, чтобы активно выявлять такие случаи избыточных URL-адресов SAS и укреплять нашу безопасность по умолчанию».

Это, конечно, не единственная проблема, с которой Microsoft столкнулась при аутентификации на основе ключей за последние месяцы.

В июле китайские шпионы украли секретный ключ Microsoft и использовали его для взлома учетных записей электронной почты правительства США. Исследователи Wiz также высказали мнение по поводу этой путаницы с безопасностью. ®