Ujawniono wyciek w Microsofcie. Palce maczał w tym jeden z pracowników
Badacze bezpieczeństwa z firmy Wiz donoszą o znacznym wycieku w jednej z największych firm w branży nowoczesnych technologii. W wyniku incydentu ujawniono mnóstwo poufnych danych. Są wśród nich klucze, hasła i dziesiątki tysięcy prywatnych wiadomości. Wyciek miał spowodować jeden z pracowników.
Raport o stanie zabezpieczeń
W raporcie opublikowanym przez badaczy Wiz, Hillai Ben-Sasson i Ronny Greenberg szczegółowo opisali, co się stało. Specjaliści prowadzili testy i podczas skanowania w poszukiwaniu źle skonfigurowanych kontenerów na GitHubie natknęli się na repozytorium należące do zespołu badawczego Microsoft AI. Grupa udostępnia tam kod open source i modele uczenia maszynowego do rozpoznawania obrazów.
- To repozytorium miało adres URL ze zbyt zezwalającym na ingerencję tokenem sygnatury dostępu współdzielonego (SAS) dla wewnętrznego konta usługi Azure Storage. Należy ono do firmy Microsoft i zawiera prywatne dane - wyjaśnia theregister.com na podstawie raportu Wiz.
Sygnatura dostępu współdzielonego (SAS) ma według Microsoftu zapewniać bezpieczny dostęp do zasobów na koncie magazynu. Dzięki SAS-owi właściciel ma posiadać pełną kontrolę nad tym, w jaki sposób klient może uzyskać dojście do danych . Użytkownik może dostosować poziom dostępu, od tylko do odczytu do pełnej kontroli. W przypadku omawianym przez badaczy z Wiz token SAS został błędnie skonfigurowany przez jednego z pracowników, ponieważ ustawił w nim uprawnienia pełnej kontroli.
To dało zespołowi Wiz – i potencjalnie osobom o bardziej nikczemnych zamiarach , niż testy bezpieczeństwa – możliwość przeglądania wszystkiego na koncie magazynu, a ponadto każda taka osoba mogła usunąć lub zmienić istniejące pliki, wyjaśnia theregister.com.
Terabajty poufnych danych dostępne dla każdego
Co w związku z tym? Otóż badacze z Wiz zaalarmowali Microsoft o wydarzeniu i przestrzegli przed “nieszczelnym” kontem magazynu. Taki stan rzeczy był “zasługą” jednego z pracowników, który przypadkiem ujawnił gigantyczną ilość danych wrażliwych przez ustawienie złych uprawnień.
- Nasz skan pokazuje, że to konto zawierało też 38 TB danych poufnych, w tym kopie zapasowe komputerów osobistych pracowników Microsoft – powiedzieli Ben-Sasson i Greenberg. - Kopie zapasowe zawierały wrażliwe dane osobowe, w tym hasła do usług Microsoft, tajne klucze i ponad 30 tys. wewnętrznych wiadomości Microsoft Teams od 359 pracowników Microsoft.
Microsoft ze swojej strony twierdzi jednak, że kopie zapasowe komputerów osobistych należały do dwóch byłych już pracowników.
Ponadto, jak twierdzi serwis theregister.com, Microsoft zbagatelizował ten błąd i stwierdził, że chodzi teraz jedynie o „podzielenie się wnioskami”, aby pomóc klientom uniknąć popełniania podobnych błędów .
- Z powodu tego problemu nie zostały ujawnione żadne dane klientów ani żadne inne usługi wewnętrzne nie były zagrożone. W odpowiedzi na ten problem nie są wymagane żadne działania ze strony klienta - stwierdził zespół Microsoft Security Response Center.
Jest reakcja Microsoftu
Po otrzymaniu powiadomienia o zagrożeniu firma z Redmond poinformowała, że unieważniła wspomniany przez Wiz token SAS, aby uniemożliwić zewnętrzny dostęp do konta magazynu i załatała wyciek.
W raporcie przygotowanym przez Microsoft Security Response Center jako odpowiedź na zgłoszenie badaczy z Wiz, można przeczytać również, że przeprowadzone zostało dodatkowe dochodzenie, aby zrozumieć, czy istnieje jakiś potencjalny wpływ wycieku na klientów lub działanie usług Microsoftu. Według ekspertów z Redmond dochodzenie wykazało, że przypadkowy wyciek spowodowany przez jednego z pracowników nie miał wpływu na zagrożenie dla klientów.
Jak podaje theregister.com, gigant z Redmond obiecuje również poprawić inne swoje działania.
- Microsoft stale ulepsza zestaw narzędzi do wykrywania i skanowania, aby proaktywnie identyfikować takie przypadki nadmiernie udostępnianych adresów URL SAS i wzmacniać naszą standardową bezpieczną postawę.
Jak jednak podkreśla wspomniany serwis, to niestety nie jest jedyny problem Microsoftu z uwierzytelnianiem opartym na kluczach . Zaledwie w lipcu br. chińscy szpiedzy ukradli tajny klucz Microsoftu i włamywali się na konta e-mail rządu USA, przypomina źródło.