Σε κίνδυνο προσωπικά δεδομένα λόγω λάθους της Microsoft

Οι ερευνητές της Microsoft AI εξέθεσαν κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης.

Συγκεκριμένα, η THW, εταιρεία ασφάλειας Cloud Wiz, ανακάλυψε ένα αποθετήριο GitHub που ανήκε στο τμήμα έρευνας AI της Microsoft, στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται σε περιβάλλον Cloud.

Οι χρήστες του GitHub, το οποίο παρείχε μοντέλο ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση URL Azure Storage. Ωστόσο, η Wiz διαπίστωσε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να χορηγεί δικαιώματα σε ολόκληρο τον λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος πρόσθετα ιδιωτικά δεδομένα.

Τα δεδομένα αυτά περιλάμβαναν 38 terabytes ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των προσωπικών αντιγράφων ασφαλείας δύο προσωπικών υπολογιστών δύο υπαλλήλων της Microsoft. Τα δεδομένα περιείχαν και άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης σε υπηρεσίες της Microsoft, μυστικών κλειδιών και περισσότερων από 30.000 εσωτερικών μηνυμάτων του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.

Η διεύθυνση URL, η οποία είχε εκθέσει αυτά τα δεδομένα από το 2020, ήταν επίσης λανθασμένα ρυθμισμένη και συνεπώς επέτρεπε δικαιώματα «πλήρους ελέγχου» αντί για δικαιώματα «μόνο για ανάγνωση», γεγονός που σήμαινε ότι κάποιος θα μπορούσε ενδεχομένως να διαγράψει, να αντικαταστήσει και να εισάγει κακόβουλο περιεχόμενο σε αυτά. Το αποθετήριο, με την ονομασία robust-models-transfer, δεν είναι πλέον προσβάσιμο.

Σε απάντηση στα παραπάνω ευρήματα, η Microsoft δήλωσε ότι η έρευνά της δεν βρήκε στοιχεία μη εξουσιοδοτημένης έκθεσης δεδομένων πελατών και ότι «δεν τέθηκαν σε κίνδυνο άλλες εσωτερικές υπηρεσίες λόγω αυτού του προβλήματος». Τόνισε επίσης ότι οι πελάτες δεν χρειάζεται να προβούν σε καμία ενέργεια εκ μέρους τους.

Τεύχος 354