La divisione di ricerca sull’intelligenza artificiale di Microsoft ha commesso un errore che ha portato alla divulgazione accidentale di decine di terabyte di dati sensibili a partire dal luglio 2020. Mentre stava contribuendo allo sviluppo di modelli di apprendimento su un repository pubblico su GitHub, un dipendente ha condiviso accidentalmente l’URL di un bucket di archiviazione BLOB di Azure configurato in modo errato, che conteneva le informazioni sensibili.
La società di sicurezza cloud Wiz ha scoperto questo errore quasi tre anni dopo e ha riferito che il dipendente Microsoft aveva condiviso accidentalmente l’URL del bucket di archiviazione. Microsoft ha collegato l’esposizione dei dati all’utilizzo di un token SAS (Shared Access Signature) eccessivamente permissivo, che consentiva il pieno controllo sui file condivisi. Questa funzionalità di Azure consente la condivisione dei dati in modo difficile da monitorare e revocare.
I token SAS hanno rappresentato un rischio per la sicurezza a causa della mancanza di monitoraggio e governance da parte di Microsoft. Questi token sono difficili da tracciare e possono essere configurati senza limiti massimi di scadenza. Pertanto, l’utilizzo dei token Account SAS per la condivisione esterna non è sicuro e dovrebbe essere evitato, secondo gli esperti di sicurezza di Wiz.
Il team di ricerca di Wiz ha scoperto che l’account di archiviazione interno di Microsoft consentiva anche accidentalmente l’accesso a ulteriori 38 TB di dati privati. Questi dati includevano backup di informazioni personali appartenenti ai dipendenti Microsoft, come password per i servizi Microsoft, chiavi segrete e un archivio di messaggi interni di Microsoft Teams provenienti da 359 dipendenti Microsoft.
Nonostante questo incidente, Microsoft ha assicurato che nessun dato cliente è stato esposto e che nessun altro servizio interno è stato compromesso. Tuttavia, questo evento mette in luce l’importanza di un adeguato monitoraggio e controllo degli accessi per evitare fughe di dati sensibili.