Microsoft lekket ved et uhell 38 TB med konfidensielle ansattes data

Nok en gang har Microsoft blitt kastet inn i rampelyset etter et brudd på konfidensielle data. Hendelsen skal ha skjedd som følge av en feil gjort av en forskergruppe som jobbet med kunstig intelligens.

Rapporter fra cybersikkerhetsfirma, Wiz, antyder at bruddet avdekket 38 terabyte med sensitive Microsoft-data, inkludert passord for Microsoft-tjenester, private nøkler og over 30 000 interne Teams-meldinger sendt av mer enn 350 selskaper ansatte. Dataene inneholdt også lenker til sikkerhetskopier av ansattes datamaskiner.

Undersøkelsen viste at Microsoft-utviklere, når de jobbet med GitHub, la ut et signaturtoken for delt tilgang (shared-access-signature, SAS) i åpen form i GitHub repository, og også feilkonfigurerte tilgangsparametere til fungerende skylagring av interne data på Azure-plattformen, noe som gir altfor permissive tilgang gjennom denne token.

Dette tillot enhver bruker som hadde tilgang til tokenet og kjente den eksterne nettverksadressen til den interne skyen lagring for å få full kontroll over alle data i et spesifikt område av Azure-lagring som eies av to Microsoft-ansatte kontoer. En kobling i disse dataene ga ubegrenset tilgang til en Azure-lagringskonto, noe som betydde at filer kunne endres, overskrives eller slettes av hvem som helst.

Det viste seg at disse dataene var tilgjengelige fra 2020. Wiz varslet Microsoft om problemet 22. juni 2023, og to dager senere tilbakekalte selskapet SAS-tokenet. Selskapets interne tjenester ble upåvirket. Imidlertid kan hendelsen ha tillatt angripere å slette, endre eller injisere filer i systemer og interne Microsoft-tjenester over en lengre periode innenfor et spesifikt område av Azure Oppbevaring.

Problemet ser ut til å stamme fra Shared Access Signature (SAS)-tokenet som ikke er konfigurert riktig i Azure. Selv om funksjonen er laget for å begrense tilgangen til visse filer, tillot denne lenken ubegrenset tilgang til lagringen.

Microsoft har foretatt en grundig gjennomgang av sine offentlige depoter og funnet ut at sikkerhetssystemer hadde oppdaget publiseringen av lenken i tide, men den ble feilaktig identifisert som en falsk positivt. Selskapets ingeniører forventes å endre systeminnstillingene for å forhindre at lignende problemer oppstår i fremtiden.