Microsoft ha accidentalmente fatto trapelare 38 TB di dati riservati dei dipendenti

Ancora una volta, Microsoft è stata messa sotto i riflettori a seguito di una violazione di dati riservati. Si dice che l'incidente sia avvenuto a seguito di un errore commesso da un gruppo di ricerca che stava lavorando sull'intelligenza artificiale.

Rapporti della società di sicurezza informatica, Mago, suggeriscono che la violazione ha esposto 38 terabyte di dati sensibili Microsoft, comprese le password per Servizi Microsoft, chiavi private e oltre 30.000 messaggi Teams interni inviati da più di 350 aziende dipendenti. I dati contenevano anche collegamenti a copie di backup dei computer dei dipendenti.

Dall'indagine è emerso che gli sviluppatori Microsoft, quando lavoravano con GitHub, pubblicavano un token di firma di accesso condiviso (shared-access-signature, SAS) in forma aperta su GitHub repository e anche parametri di accesso configurati in modo errato all'archiviazione cloud di lavoro dei dati interni sulla piattaforma Azure, fornendo un accesso eccessivamente permissivo attraverso questo gettone.

Ciò ha consentito a qualsiasi utente che avesse accesso al token e conoscesse l'indirizzo di rete esterna del cloud interno storage per ottenere il pieno controllo su tutti i dati in un'area specifica dello storage di Azure di proprietà di due dipendenti Microsoft conti. Un collegamento all'interno di questi dati forniva accesso illimitato a un account di archiviazione di Azure, il che significava che i file potevano essere modificati, sovrascritti o eliminati da chiunque.

Si è scoperto che questi dati erano disponibili dal 2020. Wiz ha informato Microsoft del problema il 22 giugno 2023 e due giorni dopo la società ha revocato il token SAS. I servizi interni dell'azienda non sono stati interessati. Tuttavia, l’incidente potrebbe aver consentito agli aggressori di eliminare, modificare o inserire file nei sistemi e servizi Microsoft interni per un lungo periodo di tempo all'interno di un'area specifica di Azure magazzinaggio.

Il problema sembra derivare dal token di firma di accesso condiviso (SAS) che non è configurato correttamente in Azure. Sebbene la funzione sia progettata per limitare l'accesso a determinati file, questo particolare collegamento consentiva l'accesso illimitato all'archivio.

Microsoft ha condotto un'analisi approfondita dei suoi archivi pubblici e ha scoperto che i sistemi di sicurezza avevano rilevato in tempo la pubblicazione del link, ma era stato erroneamente identificato come falso positivo. Si prevede che gli ingegneri dell'azienda modifichino le impostazioni di sistema per evitare che problemi simili si verifichino in futuro.