I ricercatori di Microsoft AI espongono accidentalmente 38TB di dati nel cloud Azure

La divisione di ricerca sull’intelligenza artificiale di Microsoft ha fatto trapelare accidentalmente dozzine di terabyte di dati sensibili a partire da luglio 2020 mentre contribuiva allo sviluppo di modelli di apprendimento su un repository GitHub pubblico.

Quasi tre anni dopo tutto questo è stato scoperto dalla società di sicurezza cloud Wiz, la quale ha riportato che un dipendente Microsoft aveva inavvertitamente condiviso l’URL di un bucket di archiviazione BLOB di Azure configurato in modo errato contenente le informazioni trapelate.

Microsoft ha collegato l’esposizione dei dati all’utilizzo di un token SAS (Shared Access Signature) eccessivamente permissivo, che consentiva il pieno controllo sui file condivisi. Questa funzionalità di Azure consente la condivisione dei dati in un modo descritto dai ricercatori Wiz come difficile da monitorare e revocare.

Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀 Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮. Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Se utilizzati correttamente, i token di firma di accesso condiviso (SAS) offrono un mezzo sicuro per concedere l’accesso delegato alle risorse all’interno dell’account di archiviazione. Ciò include un controllo preciso sull’accesso ai dati del cliente, specificando le risorse con cui può interagire, definendo le autorizzazioni relative a tali risorse e determinando la durata della validità del token SAS.

“A causa della mancanza di monitoraggio e governance, i token SAS rappresentano un rischio per la sicurezza e il loro utilizzo dovrebbe essere il più limitato possibile. Questi token sono molto difficili da tracciare, poiché Microsoft non fornisce un modo centralizzato per gestirli all’interno del portale di Azure”, ha avvertito Wiz recentemente ed inoltre ha aggiunto:

“Inoltre, questi token possono essere configurati per durare effettivamente per sempre, senza alcun limite massimo alla loro scadenza. Pertanto, l’utilizzo dei token Account SAS per la condivisione esterna non è sicuro e dovrebbe essere evitato”.

Il Wiz Research Team ha scoperto che oltre ai modelli open source, l’account di archiviazione interno consentiva anche inavvertitamente l’accesso a 38 TB di dati privati ​​aggiuntivi.

I dati esposti includevano backup di informazioni personali appartenenti ai dipendenti Microsoft, comprese password per i servizi Microsoft, chiavi segrete e un archivio di oltre 30.000 messaggi interni di Microsoft Teams provenienti da 359 dipendenti Microsoft.

In un avviso di lunedì del team Microsoft Security Response Center (MSRC),  Microsoft ha affermato  che nessun dato dei clienti è stato esposto e che nessun altro servizio interno è stato messo a repentaglio a causa di questo incidente.

Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

Lista degli articoli