Аналитики компании Wiz обнаружили масштабную утечку, допущенную одним из сотрудников Microsoft. В ходе обновления связанных с ИИ материалов на GitHub, сотрудник случайно выложил в открытый доступ 38 ТБ конфиденциальных данных, среди которых были приватные ключи, пароли, а также более 30 000 внутренних сообщений из Microsoft Teams.

Компания Wiz, специализирующаяся на защите облачных данных и основанная бывшими инженерами Microsoft, сообщает, что проблема была выявлена в ходе рядового сканирования интернета, направленного на обнаружение неправильно сконфигурированных контейнеров.

«Мы обнаружили на GitHub репозиторий, управляемый Microsoft и называвшийся robust-models-transfer. Этот репозиторий принадлежит исследовательскому подразделению Microsoft по искусственному интеллекту, и его цель — предоставление открытых исходных кодов и ИИ-моделей для распознавания изображений», — рассказывают исследователи.

Оказалось, что еще в 2020 году Microsoft использовала для передачи данных токены Azure SAS (Shared Access Signature), которые позволяют делиться информацией из аккаунтов Azure Storage. Хотя уровень доступа может быть ограничен только конкретными файлами, в этом случае ссылка была настроена неправильно — на общий доступ ко всей учетной записи, включая 38 ТБ личных файлов.

«Этот URL-адрес предоставлял доступ не только к опенсорсным моделям для обучения ИИ. Он был настроен таким образом, что давал права на доступ ко всей учетной записи Azure Storage, что по ошибке привело к раскрытию личных данных», — говорят представители Wiz.

В итоге сканирование показало, что случайно скомпрометированная учетная запись содержала 38 ТБ информации, включая резервные копии с персональных компьютеров сотрудников Microsoft.

«Резервные копии содержали конфиденциальные личные данные, включая пароли к сервисам Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft», — подсчитали исследователи.

Более того, вышеупомянутый токен оказался неправильно сконфигурирован и в результате предоставлял права не только чтения, но давал всем желающим (включая потенциальных злоумышленников) возможность удалять и перезаписывать существующие файлы.

«Злоумышленник мог бы внедрить вредоносный код во все ИИ-модели в этой учетной записи Storage, и каждый пользователь, впоследствии доверившийся GitHub-репозиторию компании Microsoft, оказался бы заражен», — предупредили в Wiz.

В своем отчете специалисты Wiz отмечают, что токены SAS в целом представляют серьезную угрозу безопасности, в силу отсутствия мониторинга и управления, и их использование должно быть максимально ограничено. Эксперты заявляют, что такие токены очень сложно отслеживать, поскольку Microsoft не предоставляет централизованного способа управления ими в рамках портала Azure. Кроме того, токены можно настроить таким образом, что «срок их действия будет фактически вечным, без верхнего предела».

По данным Wiz, инженеры Microsoft аннулировали SAS-токен в течение двух дней после того, как им сообщили об этой проблеме (в июне текущего года). Через месяц этот токен был заменен на GitHub.

Представители Microsoft уже заявили, что в ходе этой утечки не были раскрыты данные клиентов, и никакие внутренние сервисы компании не подвергались рискам из-за произошедшего.

Источник: xakep