El departamento de Investigación de IA de Microsoft filtró accidentalmente decenas de terabytes de datos confidenciales a partir de julio de 2020 mientras contribuía con modelos de aprendizaje de IA de código abierto a un repositorio público de GitHub.
Casi tres años después, fue descubierto por la empresa de seguridad en la nube Wiz, cuyos investigadores de seguridad descubrieron que un empleado de Microsoft había compartido sin darse cuenta la URL de un contenedor de almacenamiento Azure Blob mal configurado que contenía la información filtrada.
Microsoft vinculó la divulgación de datos al uso de un token de firma de acceso compartido (SAS) altamente permisivo, que permitía un control total sobre los archivos compartidos. Esta característica de Azure permite compartir datos de una manera que los investigadores de Wiz describieron como difícil de monitorear y deshacer.
Cuando se usan correctamente, los tokens de firma de acceso compartido (SAS) brindan un medio seguro para otorgar acceso delegado a los recursos dentro de su cuenta de almacenamiento.
Esto incluye controlar cuidadosamente el acceso de un cliente a los datos, especificar con qué recursos puede interactuar, definir sus permisos relacionados con esos recursos y especificar el período de validez del token SAS.
«Debido a la falta de monitoreo y gobernanza, los tokens SAS representan un riesgo para la seguridad y su uso debe ser lo más limitado posible. Estos tokens son muy difíciles de rastrear, ya que Microsoft no proporciona una forma centralizada de administrarlos dentro del portal Azure. » wes advirtió hoy.
«Además, estos tokens se pueden configurar para que duren efectivamente para siempre, sin límite superior en su tiempo de vencimiento. Por lo tanto, usar tokens de cuentas SAS para apuestas externas no es seguro y debe evitarse».
38 TB de datos privados quedaron expuestos a través de un clúster de almacenamiento de Azure
El equipo de investigación de Wiz descubrió que, junto con las plantillas de código abierto, la cuenta de almacenamiento interno también permitía sin darse cuenta el acceso a 38 terabytes de datos privados adicionales.
Los datos expuestos incluían copias de seguridad de información personal de empleados de Microsoft, incluidas contraseñas de servicios de Microsoft, claves secretas y un archivo de más de 30.000 mensajes internos de Microsoft Teams de 359 empleados de Microsoft.
En una consulta realizada el lunes por el equipo del Centro de respuesta de seguridad de Microsoft (MSRC), microsoft dijo No se revelaron datos de clientes y ningún otro servicio interno se vio comprometido debido a este incidente.
Wiz informó el incidente al MSRC el 22 de junio de 2023, que revocó el token SAS para bloquear todo acceso externo a la cuenta de Azure Storage, mitigando el problema el 24 de junio de 2023.
«La IA abre un enorme potencial para las empresas de tecnología. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran para llevar a producción nuevas soluciones de IA, las enormes cantidades de datos que manejan requieren controles y salvaguardas de seguridad adicionales», dijo el cofundador y director de tecnología de Wiz, Ami Luttwak. Computadora pitando.
«Esta tecnología emergente requiere grandes conjuntos de datos para entrenar. Dado que muchos equipos de desarrollo necesitan manejar cantidades masivas de datos, compartirlos con pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar».