Microsoft omylem unikl 38 TB důvěrných dat zaměstnanců

Microsoft se opět dostal do centra pozornosti po porušení důvěrných dat. K incidentu prý došlo v důsledku chyby, kterou udělala výzkumná skupina, která pracovala na umělé inteligenci.

Zprávy od firmy zabývající se kybernetickou bezpečností, Wiz, naznačují, že porušení odhalilo 38 terabajtů citlivých dat společnosti Microsoft, včetně hesel pro Služby Microsoftu, soukromé klíče a více než 30 000 interních zpráv Teams odeslaných více než 350 společnostmi zaměstnanci. Data také obsahovala odkazy na záložní kopie počítačů zaměstnanců.

Šetření ukázalo, že vývojáři Microsoftu při práci s GitHub zveřejnili sdílený přístupový podpisový token (shared-access-signature, SAS) v otevřené podobě na GitHub. úložiště a také nesprávně nakonfigurované parametry přístupu k fungujícímu cloudovému úložišti interních dat na platformě Azure, což poskytuje příliš tolerantní přístup prostřednictvím tohoto žeton.

To umožnilo každému uživateli, který měl přístup k tokenu a znal externí síťovou adresu interního cloudu úložiště, abyste získali plnou kontrolu nad všemi daty v konkrétní oblasti úložiště Azure, kterou vlastní dva zaměstnanci společnosti Microsoft účty. Odkaz v rámci těchto dat poskytoval neomezený přístup k účtu úložiště Azure, což znamenalo, že soubory mohl kdokoli měnit, přepisovat nebo mazat.

Ukázalo se, že tato data byla k dispozici od roku 2020. Wiz upozornil Microsoft na problém 22. června 2023 a o dva dny později společnost token SAS odvolala. Interní služby společnosti nebyly ovlivněny. Incident však mohl útočníkům umožnit odstraňovat, upravovat nebo vkládat soubory do systémů a interní služby Microsoftu po delší dobu v rámci konkrétní oblasti Azure úložný prostor.

Zdá se, že problém pramení z toho, že token sdíleného přístupu (SAS) není správně nakonfigurován v Azure. Přestože je funkce navržena tak, aby omezovala přístup k určitým souborům, tento konkrétní odkaz umožňoval neomezený přístup k úložišti.

Společnost Microsoft provedla důkladnou kontrolu svých veřejných úložišť a zjistila, že bezpečnostní systémy odhalili zveřejnění odkazu včas, ale byl omylem označen jako nepravdivý pozitivní. Očekává se, že inženýři společnosti upraví nastavení systému, aby v budoucnu zabránili výskytu podobných problémů.