38 TB данни изтекоха от Azure хранилище на отдела за AI разработка на Microsoft

Грешка е довела до нерегламентиран достъп до контейнера в продължение на три години

Александър Главчев

Десетки терабайти с чувствителни данни на изследователския отдел за изкуствен интелект на Microsoft случайно са изтекли в интернет, пише Bleeping Computer. Проблемът е открит сега, но течът вероятно е започнал през още през юли 2020 г., в рамките на разработка на ИИ с отворен код в публично хранилище в GitHub.

Разкритието е на компанията за облачна сигурност Wiz, чиито изследователи са установили, че служител на Microsoft по невнимание е споделил URL адреса на неправилно конфигуриран контейнер на Azure Blob, в който се е съхранявала изтеклата информация.

Microsoft свързват експозицията на данни с използването на SAS (Shared Access Signature) токен с прекалено високи правомощия, позволяващ пълен контрол върху споделените файлове. Тази функция на Azure позволява споделяне на данни по начин, описан от изследователите на Wiz, като труден за наблюдение и отмяна.

Използвани правилно SAS токените предлагат сигурно средство за предоставяне на делегиран достъп до ресурси във акаунти за съхранение. Функцията предлага прецизен контрол върху достъпа на клиента до данни, определяне на ресурсите, с които той може да взаимодейства, определяне на разрешенията относно тях и определяне на продължителността на валидността на SAS токена.

"Поради липса на мониторинг и управление SAS токените представляват риск за сигурността и тяхното използване трябва да бъде възможно най-ограничено. Те са много трудни за проследяване, тъй като Microsoft не предоставя централизиран начин за управлението им в рамките на портала Azure", предупреждават от Wiz.

"В допълнение, тези токени могат да бъдат конфигурирани да са на практика вечни, без горна граница за времето им на изтичане. Следователно използването на акаунти чрез SAS токени за външно споделяне не е безопасно и трябва да се избягва."

Изследователският екип на Wiz е установил, че освен моделите с отворен код, вътрешният акаунт за съхранение също по невнимание е позволявал достъп до допълнителни лични данни с обем около 38 TB. Те включват резервни копия на лична информация, принадлежаща на служители на Microsoft, включително пароли за услуги на Microsoft, секретни ключове и архив от над 30 000 вътрешни съобщения в Microsoft Teams, произхождащи от 359 служители на гиганта.

От там коментират, че няма разкрити клиентски данни и никакви вътрешни услуги не са компрометирани поради този инцидент.

Wiz е съобщила за инцидента на Microsoft Security Response Center (MSRC) на 22 юни т.г., скед което въпросният SAS токен е бил отменен, а достъпът до акаунта за съхранение в Azure е бил блокиран.

Десетки терабайти с чувствителни данни на изследователския отдел за изкуствен интелект на Microsoft случайно са изтекли в интернет, пише Bleeping Computer. Проблемът е открит сега, но течът вероятно е започнал през още през юли 2020 г., в рамките на разработка на ИИ с отворен код в публично хранилище в GitHub.

Разкритието е на компанията за облачна сигурност Wiz, чиито изследователи са установили, че служител на Microsoft по невнимание е споделил URL адреса на неправилно конфигуриран контейнер на Azure Blob, в който се е съхранявала изтеклата информация.

Най-новото


Пощите ще доставят електронни и телемедицински услуги

Пощите ще доставят електронни и телемедицински услуги

  • 0





AMD Zen 5 обещава 15% повече производителност

AMD Zen 5 обещава 15% повече производителност

  • 0



Още от Digitalk ›
С използването на сайта вие приемате, че използваме „бисквитки" за подобряване на преживяването, персонализиране на съдържанието и рекламите, и анализиране на трафика. Вижте нашата политика за бисквитките и декларацията за поверителност. ОК