Empleado de Microsoft expone accidentalmente 38 TB de datos confidenciales en un error de GitHub • The Register

Un empleado de Microsoft expuso accidentalmente 38 terabytes de datos privados al publicar un conjunto de datos de entrenamiento de IA de código abierto en GitHub, según los investigadores de seguridad de Wiz que detectaron la filtración de la cuenta y la informaron al gigante de Windows.

Y Redmond, en una publicación publicada el lunes, minimizó el error y dijo que simplemente estaba «compartiendo aprendizajes» para ayudar a los clientes a evitar cometer errores similares. Esto a pesar de que Wiz afirmó que el depósito de datos filtrados contenía claves privadas, contraseñas y más de 30.000 mensajes internos de Microsoft Teams, así como datos de respaldo de las estaciones de trabajo de dos empleados.

«No se expusieron datos de clientes ni se pusieron en riesgo otros servicios internos debido a este problema», dijo el equipo del Centro de respuesta de seguridad de Microsoft. dicho. «No se requiere ninguna acción del cliente en respuesta a este problema».

En un relación Publicado el lunes, los investigadores de Wiz, Hillai Ben-Sasson y Ronny Greenberg, detallaron lo sucedido. Mientras buscaban contenedores de almacenamiento mal configurados, encontraron un repositorio de GitHub propiedad del equipo de investigación de IA de Microsoft que proporciona código fuente abierto y modelos de aprendizaje automático para el reconocimiento de imágenes.

Este repositorio contenía una URL con un token de firma de acceso compartido (SAS) que era demasiado permisivo para una cuenta de almacenamiento interna de Azure propiedad de Microsoft que contenía datos privados.

A ficha SAS es una URL firmada que otorga un cierto nivel de acceso a los recursos de Azure Storage. El usuario puede personalizar el nivel de acceso, desde solo lectura hasta control total, y en este caso el token SAS estaba mal configurado con permisos de control total.

Esto no solo le dio al Team Wiz, y a espías potencialmente más nefastos, la capacidad de ver todo en la cuenta de almacenamiento, sino que también podrían haber eliminado o modificado archivos existentes.

«Nuestro análisis muestra que esta cuenta contenía 38 TB adicionales de datos, incluidas copias de seguridad de las computadoras personales de los empleados de Microsoft», dijeron Ben-Sasson y Greenberg. «Las copias de seguridad contenían datos personales confidenciales, incluidas contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de 359 empleados de Microsoft».

Microsoft, por su parte, afirma que las copias de seguridad de los ordenadores personales pertenecían a dos antiguos empleados. Después de ser informado de la exposición el 22 de junio, Redmond dijo que revocó el token SAS para evitar el acceso externo a la cuenta de almacenamiento y cerró la filtración el 24 de junio.

«Luego se llevó a cabo una investigación adicional para comprender cualquier impacto potencial en nuestros clientes y/o la continuidad del negocio», dice el informe de MSRC. «Nuestra investigación concluyó que no había ningún riesgo para los clientes por esta exposición».

También en el documento, Redmond recomendó una serie de mejores prácticas para que SAS minimice el riesgo de tokens demasiado permisivos. Esto incluye limitar el alcance de las URL al conjunto más pequeño de recursos requeridos, así como limitar los permisos a aquellos necesarios para la aplicación.

También hay una función que permite a los usuarios establecer un tiempo de vencimiento y Microsoft recomienda una hora o menos para las URL de SAS. Todos estos son buenos consejos, es una pena que Redmond no comiera su propia comida para perros en este caso.

Finalmente, Redmond promete hacerlo mejor por su parte: «Microsoft también está realizando mejoras continuas en nuestro conjunto de herramientas de detección y análisis para identificar proactivamente estos casos de URL SAS sobreaprovisionadas y fortalecer nuestra postura de seguridad de forma predeterminada».

Por supuesto, este no es el único problema que Microsoft ha tenido con la autenticación de claves en los últimos meses.

En julio, espías chinos robaron una clave secreta de Microsoft y la utilizaron para ingresar a cuentas de correo electrónico del gobierno estadounidense. Los investigadores de Wiz también investigaron este problema de seguridad. ®