Onderzoekers van de Microsoft AI-divisie lekten per ongeluk 38 TB aan privégegevens van het bedrijf terwijl ze open-source AI-trainingsmateriaal-updates op GitHub publiceerden.
Het lek, dat zich sinds juli 2020 voordeed, werd drie jaar later ontdekt door de onderzoekers van cloudbeveiligingsbedrijf Wiz.
Het Microsoft AI-team geeft per ongeluk 38 TB aan bedrijfsgegevens vrij
Volgens Wiz omvatten de blootgestelde gegevens een schijfback-up van de werkstations van twee werknemers. De schijfback-up bevatte bedrijfsgeheimen, privésleutels, wachtwoorden en meer dan 30.000 interne Microsoft Teams-berichten van 359 Microsoft-werknemers.
De onderzoekers van Wiz kwamen het probleem tegen tijdens hun voortdurende internetscans naar verkeerd geconfigureerde opslagcontainers.
“We hebben een GitHub-repository gevonden onder de naam Microsoft-organisatie robuuste-modellen-overdracht. De repository behoort toe aan de AI-onderzoeksdivisie van Microsoft en heeft tot doel open-sourcecode en AI-modellen voor beeldherkenning te bieden”, aldus het bedrijf. uitgelegd in een blogpost.
Lezers van de GitHub-opslagplaats kregen de opdracht om de modellen te downloaden van een Azure Storage-URL. Bij het delen van de bestanden gebruikte Microsoft een Azure-functie genaamd Shared Access Signature (SAS)-tokens, die volledige controle over de gedeelde bestanden van Azure Storage-accounts mogelijk maakt.
Hoewel het toegangsniveau beperkt kan worden tot specifieke bestanden, deelden de onderzoekers van de AI-divisie per ongeluk een link die was geconfigureerd om het volledige opslagaccount te delen – inclusief nog eens 38 TB aan privébestanden, wat leidde tot het lekken van gegevens.
Naast het buitensporig tolerante toegangsbereik, was het token ook verkeerd geconfigureerd om machtigingen voor “volledige controle” toe te staan in plaats van alleen-lezen. Dit betekende dat een aanvaller niet alleen alle bestanden in het opslagaccount kon bekijken, maar ook bestaande bestanden kon verwijderen en overschrijven.
Wiz rapporteerde het incident op 22 juni 2023 aan Microsoft Security Response Center (MSRC), waardoor het SAS-token op 24 juni 2023 ongeldig werd gemaakt om alle externe toegang tot het Azure-opslagaccount te blokkeren.
Microsoft voltooide zijn onderzoek naar de mogelijke impact op de organisatie op 16 augustus 2023 en maakte het incident op maandag 18 september 2023 openbaar.
Bij een advies gepubliceerd maandag zei het MSRC-team: “Er zijn geen klantgegevens openbaar gemaakt en er zijn geen andere interne diensten in gevaar gebracht vanwege dit probleem. Het hoofdoorzaakprobleem hiervoor is opgelost en er is nu bevestigd dat het systeem alle overbezette SAS-tokens detecteert en er correct over rapporteert.
Het voegde eraan toe: “Er is geen actie van de klant vereist om op dit probleem te reageren. Ons onderzoek concludeerde dat er geen risico voor klanten bestond als gevolg van deze blootstelling.”