A Microsoft divulgou acidentalmente 38 TB de dados privados em um grande vazamento

gurinho

Acabou de ser revelado que pesquisadores da Microsoft vazaram acidentalmente 38 TB de informações confidenciais na página GitHub da empresa, onde potencialmente qualquer pessoa poderia vê-las. Entre os dados encontrados estava um backup das estações de trabalho de dois ex-funcionários, que continha chaves, senhas, segredos e mais de 30.000 mensagens privadas do Teams.

De acordo com a empresa de segurança em nuvem Wiz , o vazamento foi publicado no repositório GitHub de inteligência artificial (IA) da Microsoft e foi acidentalmente incluído em uma parcela de dados de treinamento de código aberto. Isso significa que os visitantes foram incentivados a baixá-lo, o que significa que ele poderia ter caído em mãos erradas repetidas vezes.

Um grande monitor exibindo um aviso de violação de segurança.

As violações de dados podem vir de todos os tipos de fontes, mas será particularmente embaraçoso para a Microsoft que esta tenha origem nos seus próprios investigadores de IA. O relatório do Wiz afirma que a Microsoft carregou os dados usando tokens de assinatura de acesso compartilhado (SAS), um recurso do Azure, que permite aos usuários compartilhar dados por meio de contas de armazenamento do Azure.

Os visitantes do repositório foram instruídos a baixar os dados de treinamento de um URL fornecido. No entanto, o endereço web concedeu acesso a muito mais do que apenas os dados de formação planeados e permitiu aos utilizadores navegar em ficheiros e pastas que não se destinavam a ser acessíveis publicamente.

Controlo total

Uma pessoa usando um laptop com um conjunto de códigos visto na tela.

Fica pior. O token de acesso que permitiu tudo isso foi configurado incorretamente para fornecer permissões de controle total, relatou Wiz, em vez de permissões somente leitura mais restritivas. Na prática, isso significava que qualquer pessoa que visitasse o URL poderia excluir e substituir os arquivos encontrados, e não apenas visualizá-los.

Wiz explica que isso poderia ter tido consequências terríveis. Como o repositório estava cheio de dados de treinamento de IA , a intenção era que os usuários fizessem o download e os alimentassem em um script, melhorando assim seus próprios modelos de IA.

No entanto, como estava aberto à manipulação graças às suas permissões configuradas incorretamente, “um invasor poderia ter injetado código malicioso em todos os modelos de IA nesta conta de armazenamento, e todos os usuários que confiassem no repositório GitHub da Microsoft teriam sido infectados por ele”, disse Wiz. explica.

Potencial desastre

Uma representação digital de um laptop sendo hackeado por um hacker.

O relatório também observou que a criação de tokens SAS – que concedem acesso a pastas de armazenamento do Azure como esta – não cria nenhum tipo de trilha de papel, o que significa que “não há como um administrador saber que esse token existe e onde ele circula”. .” Quando um token tem permissões de acesso total como este, os resultados podem ser potencialmente desastrosos.

Felizmente, Wiz explica que relatou o problema à Microsoft em junho de 2023. O token SAS com vazamento foi substituído em julho e a Microsoft concluiu sua investigação interna em agosto. A falha de segurança acaba de ser relatada ao público para dar tempo para corrigi-la totalmente.

É um lembrete de que mesmo ações aparentemente inocentes podem levar a violações de dados. Felizmente, o problema foi corrigido, mas não se sabe se os hackers obtiveram acesso a algum dado confidencial do usuário antes de ser removido.