Véletlenül 38 TB adatot szivárogtatott ki egy dolgozó a Microsofttól
Egy rosszul konfigurált hivatkozás adott lehetőséget a redmondi cég belsős adataihoz való hozzáféréshez, megadva a lehetőséget arra is, hogy kártékony kódot injekciózzanak a cég MI-modelljeibe.
Több tucat terabájtnyi érzékeny adathoz való hozzáférésre adódott lehetőség több mint három éven keresztül, miután a Microsoft egyik alkalmazottja adatokkal kezdte feltölteni a céghez tartozó egyik GitHub repository-t, amely nyílt forráskódokat tartalmazott MI-alapú képfelismerők kiképzéséhez. A problémát három évvel később sikerült felfedeznie a felhőtechnológiákkal foglalkozó Wiz biztonsági cég szakértőinek, akik szerint az érintett GitHub oldalon a Microsoft egyik alkalmazottja létrehozott egy URL-címet is, amin keresztül a látogatók letölthették a modelleket egy Azure-tárolóból, így a nyílt forráskódú modellek mellett a belső tárhelyfiókon keresztül elérhetővé váltak a privát adatok is nem megfelelő beállítások hiányában.
A Microsoft a tárhelyhez való hozzáférést közös hozzáférésű jogosultságkóddal (SAS) korlátozta, bár korlátozásról nem igazán volt szó, mert a megosztott fájlok felett a tokenek birtokában bárki hozzáférést kapott a teljes tárfiók tartalmához, az ott elérhető fájlokat pedig nem csak megnézhette, de törölhette, vagy módosíthatta is. Ez elméletben lehetőséget adott volna arra is, hogy rosszindulatú felek a tárolóban található MI-modellek kódjaiba kártékony kódokat fecskendezzenek, ezzel potenciálisan megfertőzve azokat a felhasználókat is, akik a Microsoft GitHub-os adataiból dolgoztak.
A megfelelő beállításokkal a SAS tokenek csak korlátozott és felügyelt hozzáférést adnak a tárhelyhez, de ebben az esetben a kellő beállítások hiánya miatt a tokenek biztonsági kockázatot jelentettek. A tokenekeket nagyon nehéz nyomon követni, mivel a Microsoft nem biztosít egy központi felületet a kezelésükhöz az Azure Portalon belül – hívták fel rá a figyelmet a szakértők. Mivel a tokenek úgyis konfigurálhatók, hogy ne legyen lejáratuk, ezért külső megosztás esetén ajánlott kerülni a használatukat a biztonsági kockázatok miatt.
Az adatok közt szerepelt a Microsoft alkalmazottak személyes adatainak biztonsági másolata, beleértve a jelszavakat, titkosítási kulcsokat, valamint több mint 30 ezer belsős Microsoft Teams üzenet archívuma, ami 359 alkalmazottat érintett. A cég közleménye szerint ügyféladatok nem váltak láthatóvá és más belső szolgáltatásokat sem érintett az incidens. A Wiz 2023. júniusában jelezte az incidens a Microsoft felé, két nappal később sikerült blokkolni a külsős hozzáféréseket az Azure tárhely fiókokhoz.
Ami Luttwak, a Wiz technológiai igazgatója és társalapítója szerint miközben a cégek bekapcsolódnak a nyílt forráskódú MI-fejlesztésekbe, úgy az általuk kezelt hatalmas mennyiségű adat is további biztonsági ellenőrzéseket és intézkedéseket igényel, hogy elkerülhetőek legyenek a hasonló esetek az adathalmazok megosztása és manipulálása során.
