Redazione RHC : 19 Settembre 2023 07:44
La divisione di ricerca sull’intelligenza artificiale di Microsoft ha fatto trapelare accidentalmente dozzine di terabyte di dati sensibili a partire da luglio 2020 mentre contribuiva allo sviluppo di modelli di apprendimento su un repository GitHub pubblico.
Quasi tre anni dopo tutto questo è stato scoperto dalla società di sicurezza cloud Wiz, la quale ha riportato che un dipendente Microsoft aveva inavvertitamente condiviso l’URL di un bucket di archiviazione BLOB di Azure configurato in modo errato contenente le informazioni trapelate.
Microsoft ha collegato l’esposizione dei dati all’utilizzo di un token SAS (Shared Access Signature) eccessivamente permissivo, che consentiva il pieno controllo sui file condivisi. Questa funzionalità di Azure consente la condivisione dei dati in un modo descritto dai ricercatori Wiz come difficile da monitorare e revocare.
 Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime. Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca. Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare. Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Se utilizzati correttamente, i token di firma di accesso condiviso (SAS) offrono un mezzo sicuro per concedere l’accesso delegato alle risorse all’interno dell’account di archiviazione. Ciò include un controllo preciso sull’accesso ai dati del cliente, specificando le risorse con cui può interagire, definendo le autorizzazioni relative a tali risorse e determinando la durata della validità del token SAS.
“A causa della mancanza di monitoraggio e governance, i token SAS rappresentano un rischio per la sicurezza e il loro utilizzo dovrebbe essere il più limitato possibile. Questi token sono molto difficili da tracciare, poiché Microsoft non fornisce un modo centralizzato per gestirli all’interno del portale di Azure”, ha avvertito Wiz recentemente ed inoltre ha aggiunto:
“Inoltre, questi token possono essere configurati per durare effettivamente per sempre, senza alcun limite massimo alla loro scadenza. Pertanto, l’utilizzo dei token Account SAS per la condivisione esterna non è sicuro e dovrebbe essere evitato”.
Il Wiz Research Team ha scoperto che oltre ai modelli open source, l’account di archiviazione interno consentiva anche inavvertitamente l’accesso a 38 TB di dati privati aggiuntivi.
I dati esposti includevano backup di informazioni personali appartenenti ai dipendenti Microsoft, comprese password per i servizi Microsoft, chiavi segrete e un archivio di oltre 30.000 messaggi interni di Microsoft Teams provenienti da 359 dipendenti Microsoft.
In un avviso di lunedì del team Microsoft Security Response Center (MSRC), Microsoft ha affermato che nessun dato dei clienti è stato esposto e che nessun altro servizio interno è stato messo a repentaglio a causa di questo incidente.
RedazioneGli sviluppatori del gestore di password LastPass hanno avvisato gli utenti di una campagna di phishing su larga scala iniziata a metà ottobre 2025. Gli aggressori stanno inviando e-mail contenenti f...
I ricercatori di NeuralTrust hanno scoperto una vulnerabilità nel browser di ChatGPT Atlas di OpenAI. Questa volta, il vettore di attacco è collegato alla omnibox, la barra in cui gli utenti inseris...
Wordfence lancia l’allarme su una campagna malware su larga scala in cui gli aggressori stanno sfruttando vulnerabilità critiche nei popolari plugin di WordPress GutenKit e Hunk Companion. L’azie...
Un nuovo post sul dark web mette in vendita l’accesso amministrativo a un negozio online italiano basato su Magento. Prezzo: 200 dollari. Clienti e ordini in chiaro, e un rischio enorme per la sicur...
Microsoft Teams riceverà un aggiornamento a dicembre 2025 che consentirà di monitorare la posizione dei dipendenti tramite la rete Wi-Fi dell’ufficio. Secondo la roadmap di Microsoft 365 , “quan...
