I ricercatori della divisione AI di Microsoft hanno accidentalmente fatto trapelare 38 TB di dati privati dell’azienda mentre pubblicavano aggiornamenti di materiale di formazione AI open source su GitHub.
La fuga di notizie, che si verificava da luglio 2020, è stata scoperta dai ricercatori della società di sicurezza cloud Wiz tre anni dopo.
Il team Microsoft AI espone accidentalmente 38 TB di dati aziendali
Secondo Wiz i dati esposti includevano il backup su disco delle postazioni di lavoro di due dipendenti. Il backup del disco conteneva segreti aziendali, chiavi private, password e oltre 30.000 messaggi interni di Microsoft Teams provenienti da 359 dipendenti Microsoft.
I ricercatori di Wiz hanno riscontrato il problema durante le loro continue scansioni su Internet alla ricerca di contenitori di archiviazione configurati in modo errato.
“Abbiamo trovato un repository GitHub sotto l’organizzazione Microsoft denominata trasferimento di modelli robusti. Il repository appartiene alla divisione di ricerca sull’intelligenza artificiale di Microsoft e il suo scopo è fornire codice open source e modelli di intelligenza artificiale per il riconoscimento delle immagini”, ha affermato la società. spiegato in un post sul blog.
Ai lettori del repository GitHub è stato chiesto di scaricare i modelli da un URL di archiviazione di Azure. Durante la condivisione dei file, Microsoft ha utilizzato una funzionalità di Azure chiamata token SAS (Shared Access Signature), che consente il controllo completo sui file condivisi dagli account di archiviazione di Azure.
Sebbene il livello di accesso possa essere limitato solo a file specifici, i ricercatori della divisione AI hanno accidentalmente condiviso un collegamento configurato per condividere l’intero account di archiviazione, inclusi altri 38 TB di file privati, provocando la fuga di dati.
Oltre all’ambito di accesso eccessivamente permissivo, il token è stato anche configurato in modo errato per consentire autorizzazioni di “controllo completo” anziché di sola lettura. Ciò significava che un utente malintenzionato non solo poteva visualizzare tutti i file nell’account di archiviazione, ma poteva anche eliminare e sovrascrivere i file esistenti.
Wiz ha segnalato l’incidente al Microsoft Security Response Center (MSRC) il 22 giugno 2023, che ha invalidato il token SAS il 24 giugno 2023 per bloccare tutti gli accessi esterni all’account di archiviazione di Azure.
Microsoft ha completato l’indagine sul potenziale impatto organizzativo il 16 agosto 2023 e ha reso pubblico l’incidente lunedì 18 settembre 2023.
In un consulto pubblicato lunedì, il team MSRC ha dichiarato: “Nessun dato dei clienti è stato esposto e nessun altro servizio interno è stato messo a rischio a causa di questo problema. La causa principale di questo problema è stata risolta e ora è confermato che il sistema rileva e segnala correttamente tutti i token SAS con provisioning eccessivo.
Ha aggiunto: “Non è richiesta alcuna azione da parte del cliente per rispondere a questo problema. La nostra indagine ha concluso che non vi era alcun rischio per i clienti a seguito di questa esposizione”.
