Microsoft случайно опубликовала 38 ТБ личных данных в результате крупной утечки

19 сентября, 2023 Дядя Влад

Только что выяснилось, что исследователи Microsoft случайно слили 38 ТБ конфиденциальной информации на страницу компании GitHub, где потенциально каждый мог ее увидеть. Среди сокровищницы данных была резервная копия рабочих станций двух бывших сотрудников, содержащая ключи, пароли, секреты и более 30 000 личных сообщений Teams.

По данным компании Wiz, занимающейся облачной безопасностью , утечка была опубликована в репозитории искусственного интеллекта (ИИ) Microsoft на GitHub и случайно включена в пакет обучающих данных с открытым исходным кодом. Это означает, что посетителям предлагалось загрузить его, а это значит, что он мог снова и снова попадать в чужие руки.

Большой монитор, отображающий предупреждение о взломе системы безопасности. — Склад / Getty Images

Утечки данных могут происходить из самых разных источников, но Microsoft будет особенно неловко из-за того, что источником этой утечки стали ее собственные исследователи искусственного интеллекта. В отчетах Wiz говорится, что Microsoft загрузила данные с помощью токенов подписи общего доступа (SAS) — функции Azure, которая позволяет пользователям обмениваться данными через учетные записи хранения Azure.

Посетителям репозитория было предложено загрузить данные обучения по предоставленному URL-адресу. Однако веб-адрес предоставлял доступ не только к запланированным данным обучения, но и позволял пользователям просматривать файлы и папки, которые не предназначались для публичного доступа.

Полный контроль

Человек, использующий ноутбук, на дисплее которого виден набор кода. — Сора Симадзаки / Pexels

Становится хуже. Токен доступа, который позволял все это, был неправильно настроен для предоставления разрешений на полный доступ, сообщил Wiz, а не для более ограничительных разрешений только для чтения. На практике это означало, что любой, кто посетил URL-адрес, мог удалить и перезаписать найденные файлы, а не просто просмотреть их.

Виз объясняет, что это могло иметь ужасные последствия. Поскольку репозиторий был полон данных для обучения ИИ , предполагалось, что пользователи смогут загрузить их и передать в скрипт, тем самым улучшая свои собственные модели ИИ.

Тем не менее, поскольку он был открыт для манипуляций из-за неправильно настроенных разрешений, «злоумышленник мог внедрить вредоносный код во все модели искусственного интеллекта в этой учетной записи хранения, и каждый пользователь, который доверяет репозиторию Microsoft GitHub, был бы заражен им», — Wiz объясняет.

Потенциальная катастрофа

Цифровое изображение взломанного хакером ноутбука. — Цифровые тенденции

В отчете также отмечается, что создание токенов SAS, которые предоставляют доступ к папкам хранилища Azure, таким как эта, не создает никакого документального следа, а это означает, что «администратор не может узнать, что этот токен существует и где он циркулирует». ». Когда токен имеет права полного доступа, как этот, результаты могут быть потенциально катастрофическими.

К счастью, Wiz объясняет, что сообщила о проблеме в Microsoft в июне 2023 года. Утечка токена SAS была заменена в июле, а Microsoft завершила внутреннее расследование в августе. Об ошибке в системе безопасности было сообщено общественности только сейчас, чтобы дать время полностью ее исправить.

Напоминаем, что даже, казалось бы, невинные действия могут потенциально привести к утечке данных. К счастью, проблема устранена, но неизвестно, получили ли хакеры доступ к каким-либо конфиденциальным пользовательским данным до того, как они были удалены.