Οι ερευνητές TN της Microsoft εξέθεσαν κατά λάθος terabytes ευαίσθητων δεδομένων

Οι ερευνητές τεχνητής νοημοσύνης της Microsoft εξέθεσαν κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης, ενώ δημοσίευσαν έναν κάδο αποθήκευσης (storage bucket) δεδομένων εκπαίδευσης ανοικτού κώδικα στο GitHub. Σε έρευνα που μοιράστηκε με το TechCrunch, η νεοσύστατη εταιρεία ασφάλειας cloud Wiz δήλωσε ότι ανακάλυψε ένα αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft, στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.

Οι αναγνώστες του αποθετηρίου GitHub, το οποίο παρείχε κώδικα ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz διαπίστωσε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να χορηγεί δικαιώματα σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος πρόσθετα ιδιωτικά δεδομένα.

Τα δεδομένα αυτά περιλάμβαναν 38 terabytes ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των προσωπικών αντιγράφων ασφαλείας δύο προσωπικών υπολογιστών δύο υπαλλήλων της Microsoft

Τα δεδομένα περιείχαν επίσης άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης σε υπηρεσίες της Microsoft, μυστικών κλειδιών και περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.

Η διεύθυνση URL, η οποία είχε εκθέσει αυτά τα δεδομένα από το 2020, ήταν επίσης λανθασμένα ρυθμισμένη ώστε να επιτρέπει δικαιώματα "πλήρους ελέγχου" αντί για δικαιώματα "μόνο για ανάγνωση", σύμφωνα με την Wiz, πράγμα που σήμαινε ότι όποιος ήξερε πού να κοιτάξει μπορούσε ενδεχομένως να διαγράψει, να αντικαταστήσει και να εισάγει κακόβουλο περιεχόμενο σε αυτά.

Η Wiz σημειώνει ότι ο λογαριασμός αποθήκευσης δεν ήταν άμεσα εκτεθειμένος. Αντίθετα, οι προγραμματιστές της Microsoft AI συμπεριέλαβαν ένα υπερβολικά επιτρεπτό διακριτικό υπογραφής κοινής πρόσβασης (SAS) στη διεύθυνση URL. Τα κουπόνια SAS είναι ένας μηχανισμός που χρησιμοποιείται από το Azure και επιτρέπει στους χρήστες να δημιουργούν συνδέσμους κοινής χρήσης που παρέχουν πρόσβαση στα δεδομένα ενός λογαριασμού Azure Storage.

"Η τεχνητή νοημοσύνη ξεκλειδώνει τεράστιες δυνατότητες για τις εταιρείες τεχνολογίας", δήλωσε στο TechCrunch ο συνιδρυτής και CTO της Wiz Ami Luttwak. "Ωστόσο, καθώς οι επιστήμονες δεδομένων και οι μηχανικοί αγωνίζονται να φέρουν νέες λύσεις AI στην παραγωγή, οι τεράστιες ποσότητες δεδομένων που διαχειρίζονται απαιτούν πρόσθετους ελέγχους ασφαλείας και διασφαλίσεις. Με πολλές ομάδες ανάπτυξης να χρειάζεται να χειρίζονται τεράστιες ποσότητες δεδομένων, να τα μοιράζονται με τους συναδέλφους τους ή να συνεργάζονται σε δημόσια έργα ανοιχτού κώδικα, περιπτώσεις όπως αυτή της Microsoft είναι όλο και πιο δύσκολο να παρακολουθούνται και να αποφεύγονται".

Η Wiz δήλωσε ότι μοιράστηκε τα ευρήματά της με τη Microsoft στις 22 Ιουνίου και η Microsoft ανακάλεσε το κουπόνι SAS δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου. Σε μια δημοσίευση στο blog που μοιράστηκε με το TechCrunch πριν από τη δημοσίευση, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι "δεν εκτέθηκαν δεδομένα πελατών και δεν τέθηκαν σε κίνδυνο άλλες εσωτερικές υπηρεσίες εξαιτίας αυτού του προβλήματος". Η Microsoft δήλωσε ότι, ως αποτέλεσμα της έρευνας της Wiz, έχει επεκτείνει την υπηρεσία secret spanning του GitHub, η οποία παρακολουθεί όλες τις δημόσιες αλλαγές κώδικα ανοικτού κώδικα για την έκθεση διαπιστευτηρίων και άλλων μυστικών σε απλό κείμενο, ώστε να συμπεριλάβει οποιοδήποτε διακριτικό SAS που μπορεί να έχει υπερβολικά επιτρεπτή λήξη ή προνόμια.