I ricercatori di Microsoft AI hanno accidentalmente esposto decine di terabyte di dati sensibili, comprese chiavi private e password, mentre pubblicavano un bucket di archiviazione di dati di formazione open source su GitHub.
Tutto è cominciato con un accesso garantito ai lettori del repository GitHub da parte della divisione di ricerca AI di Microsoft. A causa di una svista, sono stati esposti miliardi di byte di dati privati.
Oltre 38 terabyte di dati privati e backup a rischio
Come raccontato da TechCrunch, la startup di sicurezza cloud Wiz ha affermato di aver scoperto un repository GitHub appartenente alla divisione Microsoft AI come parte del suo lavoro in corso sull’esposizione accidentale dei dati ospitati nel cloud.
A chi era dentro al repository GitHub, che forniva codice open source e modelli AI per il riconoscimento delle immagini, è stato chiesto di scaricare i modelli da un URL di archiviazione di Azure. Ma questo URL era configurato per concedere autorizzazioni per l’intero account di archiviazione, esponendo per errore dati privati aggiuntivi.
Questi dati includevano 38 terabyte di informazioni sensibili, inclusi i backup personali dei personal computer di due dipendenti Microsoft. I dati contenevano anche altri dati personali sensibili, tra cui password per i servizi Microsoft, chiavi segrete e oltre 30.000 messaggi interni di Microsoft Teams provenienti da centinaia di dipendenti Microsoft.
Dati che potevano anche essere modificati, perché era configurato in modo errato e consentiva il “controllo completo” piuttosto che le autorizzazioni di “sola lettura”. Chiunque sapesse dove cercare poteva potenzialmente eliminare, sostituire e inserire contenuti dannosi.
Microsoft AI, serve maggiore cautela nella ricerca
Due giorni dopo la scoperta, Microsoft AI ha revocato il token SAS, e di aver completato la sua indagine sul potenziale impatto. Sembrerebbe che ad aver permesso questo leak ci sarebbe l’inclusione nell’URL di un token di firma di accesso condiviso (SAS) eccessivamente permissivo.
I token SAS sono un meccanismo usato da Azure che consente agli utenti di creare collegamenti condivisibili che concedono l’accesso ai dati di un account di archiviazione di Azure.
Microsoft ha affermato che, come risultato della ricerca di Wiz, ha ampliato il servizio di spanning segreto di GitHub. Si tratta di un servizio che monitora tutte le modifiche al codice open source pubblico per l’esposizione in chiaro di credenziali. Così da poter includere qualsiasi token SAS che potrebbe avere scadenze o privilegi eccessivamente permissivi.
