Un empleado de Microsoft expuso accidentalmente 38 terabytes de datos privados mientras publicaba un conjunto de datos de entrenamiento de IA de código abierto en GitHub, según investigadores de seguridad de Wiz que descubrieron la cuenta filtrada y la informaron al gigante de Windows.
En un artículo del lunes, Redmond restó importancia al error y dijo que simplemente estaba «compartiendo lecciones aprendidas» para ayudar a los clientes a evitar cometer errores similares. Esto a pesar de que Wiz afirmó que el conjunto de datos filtrado contenía claves privadas, contraseñas y más de 30.000 mensajes internos de Microsoft Teams, así como datos de respaldo de dos estaciones de trabajo de empleados.
«Ningún dato del cliente quedó expuesto y ningún otro servicio interno se vio comprometido por este problema», equipo del Centro de respuesta de seguridad de Microsoft Él dijo. «No se requiere ninguna acción del cliente en respuesta a este problema».
en un informe Publicado el lunes, los investigadores de Waze Hilai Ben-Sasson y Ronnie Greenberg detallaron lo sucedido. Mientras buscaban contenedores de almacenamiento mal configurados, encontraron el repositorio GitHub de un equipo de investigación de IA de Microsoft que proporciona código fuente abierto y modelos de aprendizaje automático para el reconocimiento de imágenes.
Este repositorio contiene una URL que contiene un token de firma de acceso compartido (SAS) hipertolerante para una cuenta de almacenamiento de Azure local propiedad de Microsoft que contiene datos privados.
a código SAS Una dirección URL de ubicación que otorga un determinado nivel de acceso a los recursos de Azure Storage. El usuario puede personalizar el nivel de acceso, desde Solo lectura hasta Control total, y en este caso, el código SAS estaba mal configurado con permisos de Control total.
Esto no solo le dio al equipo de Wiz, y quizás a piratas informáticos más siniestros, la capacidad de ver todo lo que había en la cuenta de almacenamiento, sino que también fue posible eliminar o cambiar archivos existentes.
«Nuestro examen muestra que esta cuenta contiene 38 terabytes de datos adicionales, incluidas copias de seguridad de las PC de los empleados de Microsoft», dijeron Ben-Sasson y Greenberg. «Las copias de seguridad contenían datos personales confidenciales, incluidas contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de 359 empleados de Microsoft».
Microsoft, por su parte, dice que las copias de seguridad de la PC pertenecen a dos ex empleados. Después de que Redmond fuera notificada de la exposición el 22 de junio, dijo que revocó el código SAS para evitar cualquier acceso externo a la cuenta de almacenamiento y cerró la filtración el 24 de junio.
«Luego se llevó a cabo una investigación adicional para comprender cualquier impacto potencial en nuestros clientes y/o la continuidad del negocio», dice el informe de MSRC. «Nuestra investigación concluyó que no había riesgo para los clientes como resultado de esta exposición».
También en el artículo, Redmond recomendó una serie de mejores prácticas para que SAS reduzca los riesgos de tokens demasiado indulgentes. Esto incluye restringir el alcance de las URL al conjunto más pequeño de recursos requeridos, así como limitar los permisos solo a aquellos que necesita la aplicación.
También hay una característica que permite a los usuarios establecer un tiempo de vencimiento y Microsoft recomienda una hora o menos para las URL de SAS. Este es un buen consejo y es lamentable que Redmond no comiera su propia comida para perros en este caso.
Finalmente, Redmond promete un mejor rendimiento al final de las cosas: «Microsoft también está realizando mejoras continuas en nuestro conjunto de herramientas de detección e inspección para identificar proactivamente tales casos de URL SAS sobreaprovisionadas y fortalecer nuestra postura segura de forma predeterminada».
Este, por supuesto, no es el único problema al que se ha enfrentado Microsoft con la autenticación basada en claves en los últimos meses.
En julio, espías chinos robaron una clave secreta de Microsoft y la utilizaron para ingresar a cuentas de correo electrónico del gobierno estadounidense. Los investigadores de Wiz también intervinieron en este problema de seguridad. ®
«Típico pionero de la cerveza. Aficionado a la web amigable con los hipsters. Fanático certificado del alcohol. Adicto a Internet. Exasperantemente humilde amante de los zombis».