Pasak Wiz saugumo tyrinėtojų, kurie atrado nutekintą paskyrą ir pranešė apie tai Windows milžinui, „Microsoft“ darbuotojas netyčia atskleidė 38 terabaitus privačių duomenų, skelbdamas atvirojo kodo AI mokymo duomenų rinkinį „GitHub“.
Pirmadienį paskelbtame straipsnyje Redmondas sumenkino klaidą ir teigė, kad jis tik „dalinosi išmoktomis pamokomis“, kad padėtų klientams išvengti panašių klaidų. Taip yra nepaisant to, kad Wiz teigė, kad nutekintame duomenų rinkinyje buvo privatūs raktai, slaptažodžiai ir daugiau nei 30 000 vidinių Microsoft Teams pranešimų, taip pat atsarginių duomenų iš dviejų darbuotojų darbo vietų.
„Dėl šios problemos nebuvo atskleisti jokie klientų duomenys ir jokios kitos vidaus paslaugos“, – „Microsoft Security Response Center“ komanda Jis pasakė. „Šiai problemai išspręsti nereikia jokių klientų veiksmų.
in pranešimas Paskelbti pirmadienį, Waze tyrinėtojai Hilai Ben-Sasson ir Ronnie Greenberg išsamiai paaiškino, kas nutiko. Ieškodami netinkamai sukonfigūruotų saugojimo talpyklų, jie aptiko „Microsoft AI“ tyrimų komandos „GitHub“ saugyklą, kurioje pateikiamas atvirojo kodo kodas ir mašininio mokymosi modeliai vaizdų atpažinimui.
Šioje saugykloje yra URL, kuriame yra hipertolerantiškas bendrinamos prieigos parašo (SAS) prieigos raktas, skirtas „Microsoft“ priklausančiai vietinei „Azure“ saugyklos paskyrai, kurioje yra privačių duomenų.
a SAS kodas Vietos URL, suteikiantis tam tikro lygio prieigą prie „Azure Storage“ išteklių. Vartotojas gali tinkinti prieigos lygį, nuo tik skaitymo iki visiško valdymo, ir šiuo atveju SAS kodas buvo netinkamai sukonfigūruotas su visiško valdymo leidimais.
Tai ne tik suteikė „Wiz“ komandai – o gal ir baisesniems įsilaužėliams – galimybę peržiūrėti viską saugyklos paskyroje, bet ir ištrinti arba pakeisti esamus failus.
„Mūsų tyrimas rodo, kad šioje paskyroje yra 38 terabaitai papildomų duomenų, įskaitant „Microsoft” darbuotojų kompiuterių atsargines kopijas”, – sakė Ben-Sasson ir Greenberg. „Atsarginėse kopijose buvo slaptų asmeninių duomenų, įskaitant „Microsoft“ paslaugų slaptažodžius, slaptuosius raktus ir daugiau nei 30 000 vidinių „Microsoft Teams“ pranešimų iš 359 „Microsoft“ darbuotojų.
„Microsoft“ savo ruožtu teigia, kad kompiuterių atsarginės kopijos priklauso dviem buvusiems darbuotojams. Po to, kai birželio 22 d. Redmondui buvo pranešta apie atskleidimą, jis pasakė, kad atšaukė SAS kodą, kad būtų užkirstas kelias pašalinei prieigai prie saugyklos paskyros, ir birželio 24 d.
„Tada buvo atliktas papildomas tyrimas, siekiant suprasti bet kokį galimą poveikį mūsų klientams ir (arba) veiklos tęstinumui“, – sakoma MSRC ataskaitoje. „Mūsų tyrimas padarė išvadą, kad dėl šio poveikio klientams nebuvo jokios rizikos.
Taip pat straipsnyje Redmondas rekomendavo keletą geriausių SAS praktikų, kad sumažintų pernelyg švelnių žetonų riziką. Tai apima URL apimties apribojimą iki mažiausio reikalingų išteklių rinkinio, taip pat leidimų apribojimą tik tiems, kurių reikia programai.
Taip pat yra funkcija, leidžianti vartotojams nustatyti galiojimo laiką, o „Microsoft“ rekomenduoja vieną valandą ar mažiau SAS URL. Tai geras patarimas, ir gaila, kad Redmondas šiuo atveju nevalgė savo šunų maisto.
Galiausiai Redmondas žada geresnį našumą: „Microsoft taip pat nuolat tobulina savo aptikimo ir tikrinimo įrankių rinkinį, siekdama aktyviai nustatyti tokius perteklinių SAS URL atvejus ir sustiprinti mūsų saugią laikyseną pagal numatytuosius nustatymus.
Tai, žinoma, nėra vienintelė problema, su kuria „Microsoft“ susidūrė su raktu pagrįstu autentifikavimu pastaraisiais mėnesiais.
Liepą Kinijos šnipai pavogė slaptą „Microsoft“ raktą ir panaudojo jį įsilauždami į JAV vyriausybės el. pašto paskyras. Wiz tyrėjai taip pat atsižvelgė į šį saugumo snafu. ®
„Organizatorius. Rašytojas. Blogio kavos vėpla. Bendras maisto evangelistas. Visą gyvenimą alaus gerbėjas. Verslininkas.”