Sommario
La divisione di ricerca sull’IA di Microsoft ha accidentalmente rivelato decine di terabyte di dati sensibili a partire da luglio 2020, mentre contribuiva con modelli di apprendimento IA open-source a un repository pubblico su GitHub. Quasi tre anni dopo, la società di sicurezza cloud Wiz ha scoperto l’incidente. I ricercatori di Wiz hanno trovato che un dipendente di Microsoft aveva condiviso involontariamente l’URL di un contenitore di storage Azure Blob mal configurato che conteneva le informazioni trapelate.
Dettagli sulla fuga di dati
Microsoft ha collegato l’esposizione dei dati all’uso di un token di Shared Access Signature (SAS) eccessivamente permissivo, che consentiva il pieno controllo sui file condivisi. Questa funzionalità di Azure permette la condivisione dei dati in un modo che i ricercatori di Wiz hanno descritto come difficile da monitorare e revocare. Quando utilizzati correttamente, i token SAS offrono un mezzo sicuro per concedere l’accesso delegato alle risorse all’interno del tuo account di storage, inclusa la possibilità di controllare con precisione l’accesso ai dati del cliente, specificando le risorse con cui possono interagire, definendo le loro autorizzazioni rispetto a queste risorse e determinando la durata della validità del token SAS.
Rischi legati all’uso dei token SAS
Tuttavia, a causa della mancanza di monitoraggio e governance, i token SAS rappresentano un rischio per la sicurezza e il loro uso dovrebbe essere il più limitato possibile. Questi token sono molto difficili da tracciare, poiché Microsoft non fornisce un modo centralizzato per gestirli all’interno del portale Azure. Inoltre, questi token possono essere configurati per durare indefinitamente, senza un limite superiore sul loro tempo di scadenza. Pertanto, l’uso dei token SAS Account per la condivisione esterna è insicuro e dovrebbe essere evitato.
Risposta di Microsoft all’incidente
Il team di Wiz ha scoperto che, oltre ai modelli open-source, l’account di storage interno permetteva anche l’accesso involontario a 38TB di dati privati aggiuntivi. I dati esposti includevano backup di informazioni personali appartenenti a dipendenti Microsoft, incluse password per i servizi Microsoft, chiavi segrete e un archivio di oltre 30.000 messaggi interni di Microsoft Teams provenienti da 359 dipendenti Microsoft. In una comunicazione rilasciata lunedì dal Microsoft Security Response Center (MSRC), Microsoft ha affermato che nessun dato del cliente è stato esposto e nessun altro servizio interno è stato messo a rischio a causa di questo incidente. Wiz ha segnalato l’incidente al MSRC il 22 giugno 2023, che ha revocato il token SAS per bloccare tutto l’accesso esterno all’account di storage Azure, mitigando il problema il 24 giugno 2023.
