Microsoft omylom unikol 38 TB dôverných údajov o zamestnancoch

Microsoft sa opäť dostal do centra pozornosti po porušení dôverných údajov. K incidentu vraj došlo v dôsledku chyby výskumnej skupiny, ktorá pracovala na umelej inteligencii.

Správy od firmy zaoberajúcej sa kybernetickou bezpečnosťou, Wiz, naznačujú, že porušenie odhalilo 38 terabajtov citlivých údajov spoločnosti Microsoft vrátane hesiel pre Služby spoločnosti Microsoft, súkromné ​​kľúče a viac ako 30 000 interných správ Teams odoslaných viac ako 350 spoločnosťami zamestnancov. Údaje obsahovali aj odkazy na záložné kópie počítačov zamestnancov.

Vyšetrovanie ukázalo, že vývojári Microsoftu pri práci s GitHub zverejnili token zdieľaného prístupového podpisu (shared-access-signature, SAS) v otvorenej forme na GitHub. úložisko a tiež nesprávne nakonfigurované prístupové parametre k fungujúcemu cloudovému úložisku interných údajov na platforme Azure, čo poskytuje príliš tolerantný prístup prostredníctvom tohto žetón.

To umožnilo každému používateľovi, ktorý mal prístup k tokenu a poznal externú sieťovú adresu interného cloudu úložisko, aby ste získali plnú kontrolu nad všetkými údajmi v špecifickej oblasti úložiska Azure, ktoré vlastnia dvaja zamestnanci spoločnosti Microsoft účtov. Odkaz v rámci týchto údajov poskytoval neobmedzený prístup k účtu Azure Storage, čo znamenalo, že súbory mohol ktokoľvek meniť, prepisovať alebo mazať.

Ukázalo sa, že tieto údaje sú k dispozícii od roku 2020. Wiz informoval Microsoft o probléme 22. júna 2023 a o dva dni neskôr spoločnosť token SAS odvolala. Interné služby spoločnosti zostali nedotknuté. Incident však mohol umožniť útočníkom mazať, upravovať alebo vkladať súbory do systémov a interné služby spoločnosti Microsoft počas dlhšieho časového obdobia v rámci konkrétnej oblasti Azure skladovanie.

Zdá sa, že problém pramení z toho, že token zdieľaného prístupu (SAS) nie je správne nakonfigurovaný v Azure. Hoci je funkcia navrhnutá tak, aby obmedzila prístup k určitým súborom, tento konkrétny odkaz umožnil neobmedzený prístup k úložisku.

Spoločnosť Microsoft vykonala dôkladnú kontrolu svojich verejných úložísk a zistila, že bezpečnostné systémy odhalili zverejnenie odkazu včas, ale bol omylom identifikovaný ako nepravdivý pozitívne. Od inžinierov spoločnosti sa očakáva, že upravia nastavenia systému, aby sa v budúcnosti zabránilo podobným problémom.