Microsoft lækkede ved et uheld 38 TB fortrolige medarbejderdata

Endnu en gang er Microsoft blevet sat i rampelyset efter et brud på fortrolige data. Hændelsen siges at være sket som følge af en fejl begået af en forskergruppe, der arbejdede med kunstig intelligens.

Rapporter fra cybersikkerhedsfirma, Wiz, tyder på, at bruddet afslørede 38 terabyte af følsomme Microsoft-data, inklusive adgangskoder til Microsoft-tjenester, private nøgler og over 30.000 interne Teams-beskeder sendt af mere end 350 virksomheder medarbejdere. Dataene indeholdt også links til sikkerhedskopier af medarbejdernes computere.

Undersøgelsen viste, at Microsoft-udviklere, når de arbejdede med GitHub, postede et signaturtoken for delt adgang (shared-access-signature, SAS) i åben form i GitHub'en repository og også forkert konfigurerede adgangsparametre til den fungerende cloud-lagring af interne data på Azure-platformen, hvilket giver alt for tilladelig adgang gennem denne polet.

Dette tillod enhver bruger, der havde adgang til tokenet og kendte den eksterne netværksadresse på den interne sky storage for at få fuld kontrol over alle data i et specifikt område af Azure storage, der ejes af to Microsoft-medarbejdere regnskaber. Et link i disse data gav ubegrænset adgang til en Azure-lagringskonto, hvilket betød, at filer kunne ændres, overskrives eller slettes af enhver.

Det viste sig, at disse data var tilgængelige fra 2020. Wiz underrettede Microsoft om problemet den 22. juni 2023, og to dage senere tilbagekaldte virksomheden SAS-tokenet. Virksomhedens interne tjenester var upåvirket. Hændelsen kan dog have givet angribere mulighed for at slette, ændre eller injicere filer i systemer og interne Microsoft-tjenester over en længere periode inden for et specifikt område af Azure opbevaring.

Problemet ser ud til at stamme fra Shared Access Signature (SAS)-tokenet, der ikke er konfigureret korrekt i Azure. Selvom funktionen er designet til at begrænse adgangen til visse filer, tillod dette særlige link ubegrænset adgang til lageret.

Microsoft har foretaget en grundig gennemgang af sine offentlige arkiver og fundet ud af, at sikkerhedssystemer havde opdaget offentliggørelsen af ​​linket i tide, men det blev fejlagtigt identificeret som falsk positiv. Virksomhedens ingeniører forventes at ændre systemindstillinger for at forhindre lignende problemer i at opstå i fremtiden.