Microsoft lekitas kogemata 38 TB konfidentsiaalseid töötajate andmeid

Taas kord on Microsoft konfidentsiaalsete andmete rikkumise tõttu rambivalgusesse sattunud. Väidetavalt juhtus juhtum tehisintellekti kallal töötanud uurimisrühma vea tagajärjel.

Küberjulgeolekufirma aruanded, Wiz, viitavad sellele, et rikkumine paljastas 38 terabaiti tundlikke Microsofti andmeid, sealhulgas paroolid Microsofti teenused, privaatvõtmed ja üle 30 000 Teamsi sisesõnumi, mille on saatnud rohkem kui 350 ettevõtet töötajad. Andmed sisaldasid ka linke töötajate arvutite varukoopiatele.

Uurimine näitas, et Microsofti arendajad postitasid GitHubiga töötades GitHubi avatud kujul jagatud juurdepääsu allkirja märgi (shared-access-signature, SAS). hoidla ja ka valesti konfigureeritud juurdepääsuparameetrid Azure'i platvormi siseandmete toimivale pilvesalvestusele, pakkudes selle kaudu liiga lubavat juurdepääsu märk.

See võimaldas kõigil kasutajatel, kellel oli juurdepääs tokenile ja kes teadsid sisemise pilve välist võrguaadressi salvestusruumi, et saada täielik kontroll kõigi andmete üle kahele Microsofti töötajale kuuluvas Azure'i salvestusruumis kontosid. Nendes andmetes olev link andis piiramatu juurdepääsu Azure'i salvestuskontole, mis tähendas, et igaüks võis faile muuta, üle kirjutada või kustutada.

Selgus, et need andmed olid saadaval alates 2020. aastast. Wiz teavitas Microsofti probleemist 22. juunil 2023 ja kaks päeva hiljem tühistas ettevõte SAS-i märgi. See ei mõjutanud ettevõtte siseteenuseid. Vahejuhtum võis aga võimaldada ründajatel faile süsteemidesse kustutada, muuta või sisestada ja Microsofti siseteenused pikema aja jooksul kindlas Azure'i piirkonnas ladustamine.

Probleem näib tulenevat sellest, et jagatud juurdepääsu allkirja (SAS) luba pole Azure'is õigesti konfigureeritud. Kuigi funktsioon on mõeldud juurdepääsu piiramiseks teatud failidele, võimaldas see konkreetne link salvestusruumile piiramatut juurdepääsu.

Microsoft on oma avalikud hoidlad põhjalikult läbi vaadanud ja leidnud, et turvasüsteemid oli lingi avaldamise õigel ajal tuvastanud, kuid see tuvastati ekslikult kui vale positiivne. Ettevõtte insenerid peaksid muutma süsteemi sätteid, et vältida sarnaste probleemide esinemist tulevikus.