माइक्रोसॉफ्ट ने गलती से कर्मचारियों का 38 टीबी गोपनीय डेटा लीक कर दिया
गोपनीय डेटा के उल्लंघन के बाद एक बार फिर माइक्रोसॉफ्ट सुर्खियों में आ गया है। ऐसा कहा जाता है कि यह घटना कृत्रिम बुद्धिमत्ता पर काम कर रहे एक शोध समूह द्वारा की गई त्रुटि के परिणामस्वरूप हुई थी।
साइबर सुरक्षा फर्म की रिपोर्ट, जानकार, सुझाव है कि उल्लंघन ने 38 टेराबाइट संवेदनशील Microsoft डेटा को उजागर कर दिया, जिसमें पासवर्ड भी शामिल है Microsoft सेवाएँ, निजी कुंजियाँ और 350 से अधिक कंपनियों द्वारा भेजे गए 30,000 से अधिक आंतरिक टीम संदेश कर्मचारी। डेटा में कर्मचारी कंप्यूटरों की बैकअप प्रतियों के लिंक भी शामिल थे।
जांच से पता चला कि GitHub के साथ काम करते समय Microsoft डेवलपर्स ने GitHub में एक साझा एक्सेस हस्ताक्षर टोकन (शेयर्ड-एक्सेस-सिग्नेचर, SAS) को खुले रूप में पोस्ट किया था। रिपॉजिटरी, और एज़्योर प्लेटफ़ॉर्म पर आंतरिक डेटा के कामकाजी क्लाउड स्टोरेज के लिए गलत तरीके से कॉन्फ़िगर किए गए एक्सेस पैरामीटर, इसके माध्यम से अत्यधिक अनुमेय पहुंच प्रदान करते हैं टोकन.
इसने किसी भी उपयोगकर्ता को अनुमति दी जिसके पास टोकन तक पहुंच थी और आंतरिक क्लाउड का बाहरी नेटवर्क पता जानता था दो Microsoft कर्मचारियों के स्वामित्व वाले Azure संग्रहण के एक विशिष्ट क्षेत्र में सभी डेटा पर पूर्ण नियंत्रण प्राप्त करने के लिए संग्रहण हिसाब किताब। इस डेटा के भीतर एक लिंक एक Azure स्टोरेज खाते तक असीमित पहुंच प्रदान करता है, जिसका अर्थ है कि फ़ाइलों को किसी के द्वारा बदला, अधिलेखित या हटाया जा सकता है।
पता चला कि यह डेटा 2020 से उपलब्ध था। विज़ ने 22 जून, 2023 को माइक्रोसॉफ्ट को समस्या के बारे में सूचित किया और दो दिन बाद कंपनी ने एसएएस टोकन रद्द कर दिया। कंपनी की आंतरिक सेवाएँ अप्रभावित रहीं। हालाँकि, इस घटना ने हमलावरों को सिस्टम में फ़ाइलों को हटाने, संशोधित करने या इंजेक्ट करने की अनुमति दी होगी और Azure के एक विशिष्ट क्षेत्र के भीतर विस्तारित अवधि में आंतरिक Microsoft सेवाएँ भंडारण।
ऐसा प्रतीत होता है कि समस्या Azure में शेयर्ड एक्सेस सिग्नेचर (SAS) टोकन के सही ढंग से कॉन्फ़िगर न होने के कारण उत्पन्न हुई है। हालाँकि यह फ़ंक्शन कुछ फ़ाइलों तक पहुंच को सीमित करने के लिए डिज़ाइन किया गया है, इस विशेष लिंक ने भंडारण तक अप्रतिबंधित पहुंच की अनुमति दी है।
Microsoft ने अपने सार्वजनिक रिपॉजिटरी की गहन समीक्षा की है और पाया है कि सुरक्षा प्रणालियाँ समय रहते लिंक के प्रकाशन का पता चल गया था, लेकिन गलती से इसे गलत मान लिया गया सकारात्मक। कंपनी के इंजीनियरों से अपेक्षा की जाती है कि वे भविष्य में इसी तरह की समस्याओं को रोकने के लिए सिस्टम सेटिंग्स को संशोधित करें।
यदि आपको यह लेख पसंद आया तो कृपया नीचे दिए गए बटनों का उपयोग करके इसे साझा करें। यह आपसे बहुत कुछ नहीं लेगा, लेकिन यह हमें बढ़ने में मदद करेगा। आपके समर्थन के लिए धन्यवाद!
