Studiuesit e Wiz zbuluan se ekipi i Microsoft AI zbuloi më shumë se 38 TB të dhëna private në GitHub, duke përfshirë kopje rezervë të disqeve të dy punonjësve. Skedarët u ndanë gabimisht nga llogaritë e Azure Storage me veçorinë e tokenit SAS. Kompania Redmond njoftoi se të dhënat e përdoruesit nuk u ekspozuan.
Microsoft publikon 38 TB të dhëna private
Që nga qershori 2020, ekipi i Microsoft AI ka publikuar kodin me burim të hapur dhe modelet e AI për njohjen e imazheve në GitHub. Një URL e ruajtjes Azure u sigurua për të shkarkuar kodin, por adresa ofronte akses në 38 TB të dhëna, duke përfshirë kopjet rezervë të punonjësve që përmbanin fjalëkalime, çelësa privatë dhe më shumë se 30,000 mesazhe të brendshme të shkëmbyera me Microsoft Teams.
Problemi i sigurisë u shkaktua nga konfigurimi i gabuar i lejes. Një shenjë e nënshkrimit të qasjes së përbashkët (SAS) u përdor për të ndarë lidhjen me ruajtjen e Azure. Në vend që të lejojë aksesin vetëm për lexim te skedarët, Microsoft ka dhënë kontroll të plotë të llogarisë së ruajtjes. Një sulmues mund të hyjë në të gjithë skedarët (jo vetëm ato të modeleve të AI), t’i mbishkruajë dhe t’i fshijë ato. Për më tepër, skadimi i shenjës ishte caktuar në 2051.
Studiuesit e Wiz raportuan këtë çështje më 22 qershor. Microsoft e zhvlerësoi tokenin dy ditë më vonë. Në fund të hetimit, kompania Redmond konfirmoi se të dhënat e përdoruesit nuk ishin komprometuar. GitHub skanon depot për fjalëkalime të tekstit të thjeshtë, çelësa privatë dhe shenja SAS. Shenja për të hyrë në ruajtjen e Azure u konsiderua si pozitive e rreme. Defekti është rregulluar.
Discussion about this post