Microsoft läckte av misstag 38 TB konfidentiell personaldata

Återigen har Microsoft hamnat i rampljuset efter ett brott mot konfidentiell data. Händelsen ska ha inträffat till följd av ett fel som gjorts av en forskargrupp som arbetade med artificiell intelligens.

Rapporter från cybersäkerhetsföretag, Wiz, tyder på att intrånget avslöjade 38 terabyte av känslig Microsoft-data, inklusive lösenord för Microsoft-tjänster, privata nycklar och över 30 000 interna Teams-meddelanden skickade av mer än 350 företag anställda. Uppgifterna innehöll även länkar till säkerhetskopior av anställdas datorer.

Undersökningen visade att Microsoft-utvecklare, när de arbetade med GitHub, lade upp en signaturtoken för delad åtkomst (shared-access-signature, SAS) i öppen form i GitHub. repository och även felaktigt konfigurerade åtkomstparametrar till den fungerande molnlagringen av intern data på Azure-plattformen, vilket ger alltför tillåtande åtkomst genom denna tecken.

Detta tillät alla användare som hade tillgång till token och kände till det interna molnets externa nätverksadress lagring för att få full kontroll över all data i ett specifikt område av Azure-lagring som ägs av två Microsoft-anställda konton. En länk i denna data gav obegränsad åtkomst till ett Azure Storage-konto, vilket innebar att filer kunde ändras, skrivas över eller raderas av vem som helst.

Det visade sig att denna data var tillgänglig från 2020. Wiz meddelade Microsoft om problemet den 22 juni 2023 och två dagar senare återkallade företaget SAS-tokenet. Företagets interna tjänster påverkades inte. Emellertid kan incidenten ha gjort det möjligt för angripare att ta bort, ändra eller injicera filer i system och interna Microsoft-tjänster under en längre tidsperiod inom ett specifikt område av Azure lagring.

Problemet verkar bero på att SAS-token (Shared Access Signature) inte har konfigurerats korrekt i Azure. Även om funktionen är utformad för att begränsa åtkomst till vissa filer, tillät denna länk obegränsad åtkomst till lagringen.

Microsoft har gjort en grundlig granskning av sina offentliga arkiv och funnit att säkerhetssystemen hade upptäckt publiceringen av länken i tid, men den identifierades av misstag som en falsk positiv. Företagets ingenjörer förväntas ändra systeminställningarna för att förhindra att liknande problem uppstår i framtiden.