Microsoft випадково злила 38 ТБ конфіденційних даних співробітників

Знову Microsoft опинилася в центрі уваги після витоку конфіденційних даних. Зазначається, що інцидент стався в результаті помилки дослідницької групи, яка працювала над штучним інтелектом.

Звіти фірми з кібербезпеки, Wiz, припускають, що в результаті злому було відкрито 38 терабайт конфіденційних даних Microsoft, включаючи паролі для Служби Microsoft, закриті ключі та понад 30 000 внутрішніх повідомлень Teams, надісланих понад 350 компаніями працівників. Дані також містили посилання на резервні копії комп’ютерів співробітників.

Розслідування показало, що розробники Microsoft під час роботи з GitHub розмістили на GitHub токен підпису спільного доступу (shared-access-signature, SAS) у відкритому вигляді. репозиторій, а також неправильно налаштовані параметри доступу до робочого хмарного сховища внутрішніх даних на платформі Azure, надаючи надто дозволений доступ через це жетон.

Це дозволило будь-якому користувачеві, який мав доступ до маркера та знав адресу зовнішньої мережі внутрішньої хмари сховище, щоб отримати повний контроль над усіма даними в певній області сховища Azure, що належить двом співробітникам Microsoft облікові записи. Посилання в цих даних забезпечувало необмежений доступ до облікового запису сховища Azure, що означало, що будь-хто міг змінювати, перезаписувати або видаляти файли.

Виявилося, що ці дані були доступні з 2020 року. Wiz повідомила Microsoft про проблему 22 червня 2023 року, а через два дні компанія відкликала токен SAS. Внутрішні служби компанії не постраждали. Однак інцидент міг дозволити зловмисникам видаляти, змінювати або вводити файли в системи і внутрішні служби Microsoft протягом тривалого періоду часу в певній області Azure зберігання.

Схоже, що проблема пов’язана з неправильним налаштуванням маркера підпису спільного доступу (SAS) в Azure. Хоча функція призначена для обмеження доступу до певних файлів, це конкретне посилання дозволяло необмежений доступ до сховища.

Microsoft провела ретельний огляд своїх загальнодоступних сховищ і виявила, що системи безпеки вчасно виявив публікацію посилання, але помилково було визначено як помилкове позитивний. Очікується, що інженери компанії змінять налаштування системи, щоб запобігти виникненню подібних проблем у майбутньому.