Microsoft случайно изтече 38 TB поверителни данни на служители

За пореден път Microsoft беше поставена в центъра на вниманието след нарушаване на поверителни данни. Смята се, че инцидентът е възникнал в резултат на грешка, допусната от изследователска група, която работи върху изкуствения интелект.

Доклади от фирма за киберсигурност, Wiz, предполагат, че пробивът е разкрил 38 терабайта чувствителни данни на Microsoft, включително пароли за Услуги на Microsoft, частни ключове и над 30 000 вътрешни Teams съобщения, изпратени от повече от 350 компании служители. Данните съдържат и връзки към резервни копия на компютри на служители.

Разследването показа, че разработчиците на Microsoft, когато работят с GitHub, са публикували токен за подпис за споделен достъп (shared-access-signature, SAS) в отворена форма в GitHub хранилище, както и неправилно конфигурирани параметри за достъп до работещото облачно хранилище на вътрешни данни на платформата Azure, предоставяйки прекалено разрешителен достъп чрез това жетон.

Това позволява на всеки потребител, който има достъп до токена и знае адреса на външната мрежа на вътрешния облак хранилище, за да получите пълен контрол върху всички данни в конкретна област на хранилището на Azure, притежавано от двама служители на Microsoft сметки. Връзка в тези данни предоставя неограничен достъп до акаунт за съхранение на Azure, което означава, че файловете могат да бъдат променяни, презаписвани или изтривани от всеки.

Оказа се, че тези данни са налични от 2020 г. Wiz уведоми Microsoft за проблема на 22 юни 2023 г. и два дни по-късно компанията отмени SAS токена. Вътрешните услуги на компанията не са засегнати. Инцидентът обаче може да е позволил на нападателите да изтриват, променят или инжектират файлове в системите и вътрешни услуги на Microsoft за продължителен период от време в рамките на определена област на Azure съхранение.

Проблемът изглежда произтича от това, че подписът за споделен достъп (SAS) не е конфигуриран правилно в Azure. Въпреки че функцията е предназначена да ограничава достъпа до определени файлове, тази конкретна връзка позволява неограничен достъп до хранилището.

Microsoft извърши задълбочен преглед на публичните си хранилища и установи, че системите за сигурност е засякъл публикуването на линка навреме, но погрешно е идентифициран като фалшив положителен. Очаква се инженерите на компанията да променят системните настройки, за да предотвратят възникването на подобни проблеми в бъдеще.