Служител на Microsoft случайно разкри 38 TB чувствителни данни при грешка в GitHub
Служител на Microsoft инцидентно е разкрил 38 терабайта персонални данни, до момента в който е разгласил данни за образование по изкуствен интелект с отворен код в GitHub, настояват откриватели по сигурността от Wiz.
Те са забелязали приключването на данни и са докладвали за това на колоса Windows.
А Редмънд, в писание от понеделник, омаловажи грешката и съобщи, че просто „ споделя поуките “, с цел да помогне на клиентите да избегнат сходни неточности. Това се случва макар изказванието на Wiz, че в кофата с изтекли данни е имало частни ключове, пароли и над 30 000 вътрешни известия в Microsoft Teams.
Както и аварийни копия на данни от работните станции на двама чиновници.
Никакви данни на клиенти не са били изложени на риск и никакви други вътрешни услуги не са били изложени на риск заради този проблем. Не се изискват дейности от страна на клиентите в отговор на този проблем.
Заяви екипът на Центъра за реагиране на сигурността на Microsoft.
В отчет, оповестен в понеделник, откривателите на Wiz Хилай Бен-Сасон и Рони Гринберг разказват в детайли случилото се. Докато сканирали за погрешно конфигурирани контейнери за предпазване, те попаднали на вместилище в GitHub, принадлежащо на изследователския екип на Microsoft AI.
То дава отворен код и модели за машинно образование за различаване на изображения.
Това вместилище е съдържало URL адрес с прекомерно позволителен токен за споделен автограф за достъп (SAS) за вътрешен акаунт за предпазване в Azure, благосъстоятелност на Microsoft, съдържащ частни данни.
SAS токенът е подписан URL адрес, който дава несъмнено равнище на достъп до ресурсите на Azure Storage. Потребителят може да персонализира равнището на достъп – от единствено за четене до цялостен надзор, а в този случай SAS токенът е бил погрешно конфигуриран с позволения за цялостен надзор.
Това освен е дало опция на екипа на Wiz – и на евентуално по-недобросъвестни шпиони – да преглеждат всичко в акаунта за предпазване, само че също по този начин са могли да изтрият или трансформират съществуващи файлове.
Нашето сканиране демонстрира, че този акаунт е съдържал 38 TB спомагателни данни – в това число аварийни копия на персоналните компютри на чиновниците на Microsoft. Резервните копия съдържаха чувствителни персонални данни, в това число пароли за услуги на Microsoft, секретни ключове и над 30 000 вътрешни известия в Microsoft Teams от 359 чиновници на Microsoft.
Казват Бен-Сасон и Грийнбърг.
От своя страна Microsoft твърди, че аварийните копия на персоналните компютри са принадлежали на двама някогашни чиновници. След като са били известени за разкриването на 22 юни, от Редмънд споделят, че са лишили маркера SAS, с цел да предотвратят всевъзможен външен достъп до акаунта за предпазване, и са запушили теча на 24 юни.
След това беше извършено в допълнение следствие, с цел да се разбере всяко евентуално влияние върху нашите клиенти и/или непрекъснатостта на бизнеса. Нашето следствие стигна до заключението, че няма риск за клиентите вследствие на това излагане на риск.
Се споделя в отчета на MSRC.
Също по този начин в писмения отчет Редмънд предложи серия от най-хубави практики за SAS, с цел да се сведе до най-малко рискът от прекомерно разрешаващи токени.
Това включва ограничение на обсега на URL адресите до най-малкия набор от нужни запаси, както и ограничение на разрешенията единствено до тези, които са нужни за приложението.
Съществува и функционалност, която разрешава на потребителите да задават период на годност, като Microsoft предлага един час или по-малко за SAS URL адресите.
И най-после, Редмънд дава обещание да се оправи по-добре със своята част от нещата:
Microsoft също по този начин прави непрекъснати усъвършенствания в нашия набор от принадлежности за разкриване и сканиране, с цел да разпознава самодейно такива случаи на свръхпредоставени SAS URL адреси и да ускори нашата сигурност по дифолт.
