.
Um funcionário da Microsoft expôs acidentalmente 38 terabytes de dados privados ao publicar um conjunto de dados de treinamento de IA de código aberto no GitHub, de acordo com pesquisadores de segurança da Wiz que detectaram o vazamento da conta e relataram ao gigante do Windows.
Redmond, em um artigo de segunda-feira, minimizou o erro, dizendo que estava apenas “compartilhando o que aprendeu” para ajudar os clientes a evitar erros semelhantes. Isso apesar de Wiz alegar que o balde de dados vazado continha chaves privadas, senhas e mais de 30.000 mensagens internas do Microsoft Teams, bem como dados de backup das estações de trabalho de dois funcionários.
“Nenhum dado de cliente foi exposto e nenhum outro serviço interno foi colocado em risco devido a esse problema”, afirmou a equipe do Microsoft Security Response Center. disse. “Nenhuma ação do cliente é necessária em resposta a este problema.”
Em um relatório publicado na segunda-feira, os pesquisadores do Wiz Hillai Ben-Sasson e Ronny Greenberg detalharam o que aconteceu. Enquanto procuravam contêineres de armazenamento mal configurados, eles encontraram um repositório GitHub pertencente à equipe de pesquisa de IA da Microsoft que fornece código-fonte aberto e modelos de aprendizado de máquina para reconhecimento de imagem.
Este repositório continha uma URL com um token de assinatura de acesso compartilhado (SAS) excessivamente permissivo para uma conta de armazenamento interna do Azure de propriedade da Microsoft contendo muitos dados privados.
A Token SAS é uma URL assinada que concede algum nível de acesso aos recursos do Armazenamento do Azure. Os usuários podem personalizar o nível de acesso, de somente leitura a controle total e, neste caso, o token SAS foi configurado incorretamente com permissões de controle total.
Isso não apenas deu à equipe do Wiz – e aos bisbilhoteiros potencialmente mais nefastos – a capacidade de visualizar tudo na conta de armazenamento, mas também poderia ter excluído ou alterado arquivos existentes.
“Nossa varredura mostra que esta conta continha 38 TB de dados adicionais – incluindo backups de computadores pessoais de funcionários da Microsoft”, disseram Ben-Sasson e Greenberg. “Os backups continham dados pessoais confidenciais, incluindo senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams de 359 funcionários da Microsoft.”
A Microsoft, por sua vez, afirma que os backups dos computadores pessoais pertenciam a dois ex-funcionários. Depois de ser notificado sobre a exposição em 22 de junho, Redmond disse que revogou o token SAS para evitar qualquer acesso externo à conta de armazenamento e corrigiu o vazamento em 24 de junho.
“Foi então realizada uma investigação adicional para compreender qualquer impacto potencial para os nossos clientes e/ou continuidade dos negócios”, diz o relatório do MSRC. “Nossa investigação concluiu que não havia risco para os clientes como resultado desta exposição”.
Também no artigo, Redmond recomendou uma série de práticas recomendadas para o SAS minimizar o risco de tokens excessivamente permissivos. Isso inclui limitar o escopo das URLs ao menor conjunto de recursos necessários e também limitar as permissões apenas às necessárias ao aplicativo.
Há também um recurso que permite aos usuários definir um prazo de validade, e a Microsoft recomenda uma hora ou menos para URLs SAS. Tudo isso é um bom conselho, é uma pena que Redmond não tenha comido sua própria comida de cachorro neste caso.
Por fim, Redmond promete fazer melhor: “A Microsoft também está fazendo melhorias contínuas em nosso conjunto de ferramentas de detecção e verificação para identificar proativamente esses casos de URLs SAS superprovisionados e reforçar nossa postura segura por padrão”.
É claro que esse não é o único problema da Microsoft com autenticação relacionada a chaves nos últimos meses.
Em julho, Espiões chineses roubaram uma chave secreta da Microsoft e usada para invadir contas de e-mail do governo dos EUA. Pesquisadores Wiz pesou sobre aquela confusão de segurança também. ®
.