Microsoft-werknemer openbaart onbedoeld 38 terabytes aan gevoelige gegevens in GitHub-blunder • Logboek

Een Microsoft-medewerker heeft per ongeluk 38 terabytes aan privégegevens vrijgegeven tijdens het publiceren van een reeks open source AI-trainingsgegevens op GitHub, volgens beveiligingsonderzoekers van Wiz die het gelekte account ontdekten en dit aan de Windows-gigant rapporteerden.

In een artikel op maandag bagatelliseerde Redmond de blunder en zei dat hij alleen maar “geleerde lessen deelde” om klanten te helpen soortgelijke fouten te voorkomen. Dit ondanks het feit dat Wiz beweert dat de gelekte dataset privésleutels, wachtwoorden en meer dan 30.000 interne Microsoft Teams-berichten bevatte, evenals back-upgegevens van twee werkstations van werknemers.

“Er zijn geen klantgegevens openbaar gemaakt en er zijn geen andere interne services in gevaar gebracht door dit probleem”, aldus het Microsoft Security Response Center-team Hij zei. “Er is geen actie van de klant vereist als reactie op dit probleem.”

in een verslag Maandag gepubliceerd, hebben Waze-onderzoekers Hilai Ben-Sasson en Ronnie Greenberg gedetailleerd beschreven wat er is gebeurd. Tijdens hun zoektocht naar verkeerd geconfigureerde opslagcontainers kwamen ze de GitHub-repository van een Microsoft AI-onderzoeksteam tegen die open source-code en machine learning-modellen voor beeldherkenning biedt.

Deze opslagplaats bevat een URL met een hypertolerant SAS-token (Shared Access Signature) voor een on-premises Azure-opslagaccount van Microsoft dat privégegevens bevat.

A SAS-code Een locatie-URL die een bepaald toegangsniveau verleent aan Azure Storage-resources. De gebruiker kan het toegangsniveau aanpassen, van Alleen-lezen tot Volledig beheer, en in dit geval was de SAS-code verkeerd geconfigureerd met machtigingen voor Volledig beheer.

Niet alleen gaf dit het Wiz-team (en wellicht meer sinistere hackers) de mogelijkheid om alles in het opslagaccount te bekijken, maar het was ook mogelijk om bestaande bestanden te verwijderen of te wijzigen.

“Uit ons onderzoek blijkt dat dit account 38 terabytes aan extra gegevens bevat – inclusief back-ups van de pc’s van Microsoft-werknemers”, aldus Ben-Sasson en Greenberg. “De back-ups bevatten gevoelige persoonlijke gegevens, waaronder wachtwoorden voor Microsoft-services, geheime sleutels en meer dan 30.000 interne Microsoft Teams-berichten van 359 Microsoft-werknemers.”

Microsoft zegt op zijn beurt dat de pc-back-ups eigendom zijn van twee voormalige werknemers. Nadat Redmond op 22 juni op de hoogte was gebracht van de blootstelling, zei het dat het de SAS-code had ingetrokken om toegang van buitenaf tot het opslagaccount te voorkomen, en het lek op 24 juni had gesloten.

“Vervolgens werd er aanvullend onderzoek uitgevoerd om inzicht te krijgen in de mogelijke gevolgen voor onze klanten en/of de bedrijfscontinuïteit”, aldus het MSRC-rapport. “Ons onderzoek concludeerde dat er geen risico voor klanten bestond als gevolg van deze blootstelling.”

Ook in het artikel beveelt Redmond een reeks best practices voor SAS aan om de risico’s van te milde tokens te verminderen. Dit omvat het beperken van de reikwijdte van URL’s tot de kleinste set bronnen die nodig is, evenals het beperken van machtigingen tot alleen de machtigingen die nodig zijn voor de toepassing.

Er is ook een functie waarmee gebruikers een vervaltijd kunnen instellen, en Microsoft raadt een uur of minder aan voor SAS-URL’s. Dit is een goed advies, en het is jammer dat Redmond in dit geval zijn eigen hondenvoer niet heeft gegeten.

Ten slotte belooft Redmond betere prestaties op het einde van de zaak: “Microsoft brengt ook voortdurende verbeteringen aan in ons pakket detectie- en inspectietools om dergelijke gevallen van overprovisioned SAS-URL’s proactief te identificeren en onze veilige houding standaard te versterken.”

Dit is uiteraard niet het enige probleem waarmee Microsoft de afgelopen maanden te maken heeft gehad met op sleutels gebaseerde authenticatie.

In juli stalen Chinese spionnen een geheime Microsoft-sleutel en gebruikten deze om in te breken in e-mailaccounts van de Amerikaanse overheid. Wiz-onderzoekers hebben ook hun mening gegeven over dit beveiligingsprobleem. ®