Kolejny wyciek z Microsoftu. Ujawnili 38 terabajtów wrażliwych danych

Zespół badawczy Microsoft Corp. zajmujący się sztuczną inteligencją nieumyślnie ujawnił znaczne ilości prywatnych danych na platformie dla programistów GitHub.

Microsoft przez 3 lata nieświadomie udostępniał 38 TB wrażliwych danych.

Między 20 lipca 2020 r. a 24 czerwca 2023 r., firma Microsoft nieumyślnie udostępniła ogromne zasoby danych w publicznej sieci za pośrednictwem swojego publicznego repozytorium GitHub. Firma zajmująca się bezpieczeństwem w chmurze o nazwie Wiz odkryła ten problem i poinformowała firmę Microsoft o nim 22 czerwca 2023 r. Microsoft natychmiast unieważnił swoje tokeny dostępu dwa dni później. Incydent ten został jednak ujawniony publicznie dopiero teraz, kiedy firma Wiz opublikowała informacje na ten temat na swoim oficjalnym blogu. Dane przechowywane w chmurze na platformie służącej szkoleniu sztucznej inteligencji zostały naruszone przez źle skonfigurowane łącze. Zdaniem Wiz, wyciek danych nastąpił, gdy zespół badawczy Microsoftu opublikował dane szkoleniowe typu open source na platformie GitHub.

Microsoft przez 3 lata nieświadomie udostępniał 38 TB danych, zawierających prywatne klucze kryptograficzne, hasła i ponad 30 000 wewnętrznych wiadomości Microsoft Teams należących do 359 pracowników, jak również kopie systemu z 2 stacji roboczych. To kolejna poważna wpadka Microsoftu.

Użytkownicy repozytorium mieli możliwość pobierania modeli sztucznej inteligencji z adresu URL przechowywanego w chmurze. Jednak, jak wyjaśnia firma Wiz w swoim wpisie na blogu, to łącze było źle skonfigurowane, co przyznawało uprawnienia na poziomie całego konta magazynu. Co więcej, udzielało użytkownikom pełnej kontroli, zamiast jedynie dostępu do odczytu, co oznaczało, że mogli oni usuwać i zamieniać istniejące pliki. 

Według ekspertów z firmy Wiz, udostępnianie danych stanowi kluczowy element procesu szkolenia w dziedzinie sztucznej inteligencji. Jednakże, większa ilość danych udostępniana publicznie niesie za sobą ogromne ryzyko, szczególnie w przypadku błędnej konfiguracji. W przypadku incydentu, który miał miejsce w czerwcu, firma Wiz udostępniła swoje odkrycia firmie Microsoft. Ta zareagowała szybko, usuwając ujawnione dane. Dyrektor ds. technologii i współzałożyciel firmy Wiz, Ami Luttwak, stwierdził, że incydent mógłby być znacznie poważniejszy.

W opublikowanym w poniedziałek poście na blogu, Microsoft ogłosił, że dokładnie zbadał i naprawił incydent związanym z udostępnieniem adresu URL do modeli uczenia maszynowego typu open source w publicznym repozytorium GitHub. Microsoft wyjaśnił, że ujawnione dane obejmowały kopie zapasowe profili stacji roboczych byłych pracowników, a także wewnętrzne wiadomości pracowników w aplikacji Microsoft Teams w ich relacjach z kolegami. Kopia zapasowa obejmowała „tajemnice”, prywatne klucze kryptograficzne, hasła i ponad 30 000 wewnętrznych wiadomości Microsoft Teams należących do 359 pracowników Microsoft. Każdy mógł uzyskać dostęp do 38 TB prywatnych plików, przynajmniej do czasu unieważnienia przez Microsoft niebezpiecznego tokena SAS 24 czerwca 2023 r.

Pracownicy badający sztuczną inteligencję w firmie Microsoft udostępniali swoje pliki za pomocą nadmiernie liberalnego tokena SAS. Tokeny SAS pozwalają na udostępnianie podpisanych adresów URL w celu zapewnienia dokładnego dostępu do danych przechowywanych w Azure Storage. Użytkownicy mogą dostosowywać poziom dostępu, a konkretny token SAS użyty przez badaczy firmy Microsoft wskazywał na błędnie skonfigurowany kontener Azure Storage, w którym znajdowały się wrażliwe dane.

Tokeny SAS, mimo swojej użyteczności, stanowią zagrożenie dla bezpieczeństwa ze względu na brak monitorowania i zarządzania nimi. Wiz twierdzi, że ich użycie powinno być "jak najbardziej ograniczone", ponieważ są trudne do śledzenia, a Microsoft nie zapewnia scentralizowanego narzędzia do zarządzania nimi za pośrednictwem Azure Portal.

Co więcej, tokeny SAS można skonfigurować tak, aby działały "efektywnie na zawsze". Pierwszy token, który Microsoft umieścił w swoim repozytorium GitHub dotyczącym sztucznej inteligencji, został dodany 20 lipca 2020 roku i był ważny do 5 października 2021 roku. Następnie został dodany drugi token z datą ważności ustawioną na 6 października 2051 roku.

Zespół badawczy firmy Wiz odkrył istnienie pamięci podręcznej danych, przeszukując internet w celu wykrycia źle skonfigurowanych kontenerów do przechowywania danych w trakcie prowadzonych prac nad przypadkowym ujawnieniem danych przechowywanych w chmurze.

To kolejna wpadka Microsoftu. 

W lipcu wykradziono tajny klucz bezpieczeństwa Microsoftu, który został przez Chiny użyty do włamania się na konta poczty e-mail rządu USA. W kwietniu 2021 roku, gdy oprogramowanie w izolowanym środowisku, które obsługiwało klucz konsumencki, uległo awarii, wykonano migawkę programu. Okazało się, że ta migawka, którą przeniesiono do sieci z dostępem do internetu, zawierała kopię tego tajnego klucza.