Microsoft filtró accidentalmente 38 TB de datos confidenciales de sus empleados

Una vez más, Microsoft ha estado en el centro de atención tras una violación de datos confidenciales. Se dice que el incidente ocurrió como resultado de un error cometido por un grupo de investigación que estaba trabajando en inteligencia artificial.

Informes de la firma de ciberseguridad, Fenómeno, sugieren que la violación expuso 38 terabytes de datos confidenciales de Microsoft, incluidas contraseñas para Servicios de Microsoft, claves privadas y más de 30.000 mensajes internos de Teams enviados por más de 350 empresas empleados. Los datos también contenían enlaces a copias de seguridad de las computadoras de los empleados.

La investigación mostró que los desarrolladores de Microsoft, cuando trabajaban con GitHub, publicaron un token de firma de acceso compartido (shared-access-signature, SAS) en forma abierta en GitHub. repositorio, y también parámetros de acceso configurados incorrectamente al almacenamiento en la nube de datos internos en la plataforma Azure, lo que proporciona un acceso demasiado permisivo a través de este simbólico.

Esto permitió que cualquier usuario que tuviera acceso al token y conociera la dirección de red externa de la nube interna almacenamiento para obtener control total sobre todos los datos en un área específica de almacenamiento de Azure propiedad de dos empleados de Microsoft cuentas. Un vínculo dentro de estos datos proporcionaba acceso ilimitado a una cuenta de almacenamiento de Azure, lo que significaba que cualquier persona podía cambiar, sobrescribir o eliminar archivos.

Resultó que estos datos estaban disponibles desde 2020. Wiz notificó a Microsoft sobre el problema el 22 de junio de 2023 y dos días después la empresa revocó el token SAS. Los servicios internos de la empresa no se vieron afectados. Sin embargo, el incidente pudo haber permitido a los atacantes eliminar, modificar o inyectar archivos en los sistemas. y servicios internos de Microsoft durante un período prolongado dentro de un área específica de Azure almacenamiento.

El problema parece deberse a que el token de firma de acceso compartido (SAS) no está configurado correctamente en Azure. Aunque la función está diseñada para limitar el acceso a ciertos archivos, este enlace en particular permitía el acceso sin restricciones al almacenamiento.

Microsoft ha realizado una revisión exhaustiva de sus repositorios públicos y ha descubierto que los sistemas de seguridad había detectado a tiempo la publicación del enlace, pero fue identificado erróneamente como falso positivo. Se espera que los ingenieros de la empresa modifiquen la configuración del sistema para evitar que ocurran problemas similares en el futuro.