Microsoft a scurs accidental 38 TB de date interne pe GitHub

Microsoft a scurs accidental 38 TB de date interne pe GitHub

Gigantul de la Redmond se confruntă cu o perioadă șocantă în ceea ce privește securitatea, cea mai recentă țintă expunând mesaje a 30.000 de echipe interne.

Acest lucru vine după ce Microsoft a dezvăluit săptămâna trecută modul în care hackerii chinezi au obținut cheia de semnare internă a contului, datorită unei serii de probleme cauzate de „o prăbușire a sistemului de semnătură a consumatorilor”.

Scurgerea GitHub a fost descoperită de cercetătorii companiei de securitate în cloud Wiz, care scanează în mod regulat internetul pentru „containere de stocare configurate greșit”. Într-o scanare obișnuită, au găsit un depozit GitHub numit strong-models-transfer, care aparține grupului de cercetare de Inteligență artificială (AI) al Microsoft.

În teorie, depozitul avea „modele ImageNet puternice pre-antrenate” pentru descărcare, dar, în realitate, era mult mai mult decât atât.

„…Această adresă URL oferă acces la mai mult decât la șabloane open source”, a spus Wiz într-un mesaj Postare pe blog. „A fost configurat pentru a acorda permisiuni pentru întregul cont de stocare, ceea ce a dus la expunerea accidentală a datelor private suplimentare.”

În plus, oricine accesează depozitul are, de asemenea, permisiuni „Control complet” în loc de permisiunile obișnuite numai pentru citire.

„Aceasta înseamnă că un atacator nu poate doar să vadă toate fișierele din contul de stocare, ci și să ștergă și să suprascrie fișierele existente”, au descoperit cercetătorii Wiz.

Având în vedere scopul real al depozitului – partajarea modelelor AI – „un atacator ar fi putut injecta cod rău intenționat în toate modelele AI din acel cont de stocare și fiecare utilizator care a avut încredere în depozitul GitHub al Microsoft ar fi putut fi infectat.” . .

În teorie, întregul cont ar fi trebuit să rămână privat, dar utilizarea jetoanelor SAS – jetoane de cont SAS, în special – a însemnat că utilizatorii își puteau crea în mod eficient propriile jetoane, pe partea clientului. Administratorii nici măcar nu vor ști că aceste jetoane există și chiar revocarea lor nu este banală.

„De asemenea, revocarea unui jeton nu este o sarcină ușoară – necesită rotirea cheii contului care a semnat jetonul, ceea ce face ca toate celelalte simboluri semnate cu aceeași cheie să fie inactive”, a spus Weisz. „Aceste riscuri unice fac din acest serviciu o țintă ușoară pentru atacatorii care caută date expuse.”

Wiz a descoperit pentru prima dată depozitul în iunie 2023 și a raportat problema la Microsoft două zile mai târziu. Jetonul SAS, care avea o dată de expirare din octombrie 2051, a fost revocat în 2021 de Microsoft pe 24 iunie și apoi înlocuit pe 7 iulie.

Până pe 16 august, Microsoft și-a încheiat ancheta internă și atât Wiz, cât și Microsoft a dezvăluit această problemă.

„Pasul simplu de partajare a setului de date AI a dus la o scurgere masivă de date, care conține peste 38 de terabytes de date private”, a concluzionat Weisz.

„Cauza principală a fost utilizarea token-urilor SAS ca mecanism de partajare. Din cauza lipsei de supraveghere și guvernare, jetoanele SAS reprezintă un risc de securitate, iar utilizarea lor ar trebui să fie cât mai limitată posibil.