Microsoft nejauši nopludināja 38 TB konfidenciālu darbinieku datu

Microsoft atkal ir nokļuvis uzmanības centrā pēc konfidenciālu datu pārkāpuma. Tiek ziņots, ka incidents noticis kļūdas rezultātā, ko pieļāvusi pētnieku grupa, kas strādāja pie mākslīgā intelekta.

Ziņojumi no kiberdrošības uzņēmuma, Wiz, liecina, ka pārkāpums atklāja 38 terabaitus sensitīvu Microsoft datu, tostarp paroles Microsoft pakalpojumi, privātās atslēgas un vairāk nekā 30 000 iekšējo Teams ziņojumu, ko nosūtījuši vairāk nekā 350 uzņēmumi darbiniekiem. Datos bija arī saites uz darbinieku datoru rezerves kopijām.

Izmeklēšana parādīja, ka Microsoft izstrādātāji, strādājot ar GitHub, GitHub atklātā formā ievietoja koplietojamo piekļuves paraksta pilnvaru (shared-access-signature, SAS). repozitorijs, kā arī nepareizi konfigurēti piekļuves parametri iekšējo datu darba mākoņkrātuvei Azure platformā, nodrošinot pārāk pieļaujamu piekļuvi, izmantojot šo žetons.

Tas ļāva ikvienam lietotājam, kuram bija piekļuve pilnvarai un kurš zināja iekšējā mākoņa ārējā tīkla adresi krātuve, lai iegūtu pilnīgu kontroli pār visiem datiem noteiktā Azure krātuves apgabalā, kas pieder diviem Microsoft darbiniekiem konti. Saite šajos datos nodrošināja neierobežotu piekļuvi Azure krātuves kontam, kas nozīmēja, ka failus varēja mainīt, pārrakstīt vai dzēst ikviens.

Izrādījās, ka šie dati bija pieejami no 2020. gada. Wiz informēja Microsoft par problēmu 2023. gada 22. jūnijā, un divas dienas vēlāk uzņēmums atsauca SAS pilnvaru. Uzņēmuma iekšējie pakalpojumi netika ietekmēti. Tomēr incidents, iespējams, ļāva uzbrucējiem dzēst, modificēt vai ievadīt failus sistēmās un iekšējie Microsoft pakalpojumi ilgākā laika periodā noteiktā Azure apgabalā uzglabāšana.

Šķiet, ka problēma rodas no koplietojamās piekļuves paraksta (SAS) marķiera, kas Azure nav pareizi konfigurēts. Lai gan funkcija ir paredzēta, lai ierobežotu piekļuvi noteiktiem failiem, šī konkrētā saite ļāva neierobežotu piekļuvi krātuvei.

Microsoft ir veikusi rūpīgu savu publisko repozitoriju pārskatīšanu un konstatējusi, ka drošības sistēmas bija savlaicīgi konstatējis saites publicēšanu, taču tā kļūdaini tika identificēta kā nepatiesa pozitīvs. Paredzams, ka uzņēmuma inženieri pārveidos sistēmas iestatījumus, lai novērstu līdzīgu problēmu rašanos nākotnē.