BiznesINFO.pl Technologie Ujawniono wyciek w Microsofcie. Palce maczał w tym jeden z pracowników
domena publiczna

Ujawniono wyciek w Microsofcie. Palce maczał w tym jeden z pracowników

19 września 2023
Autor tekstu: Paula Drechsler

Badacze bezpieczeństwa z firmy Wiz donoszą o znacznym wycieku w jednej z największych firm w branży nowoczesnych technologii. W wyniku incydentu ujawniono mnóstwo poufnych danych. Są wśród nich klucze, hasła i dziesiątki tysięcy prywatnych wiadomości. Wyciek miał spowodować jeden z pracowników.

Raport o stanie zabezpieczeń

W raporcie opublikowanym przez badaczy Wiz, Hillai Ben-Sasson i Ronny Greenberg szczegółowo opisali, co się stało. Specjaliści prowadzili testy i podczas skanowania w poszukiwaniu źle skonfigurowanych kontenerów na GitHubie natknęli się na repozytorium należące do zespołu badawczego Microsoft AI. Grupa udostępnia tam kod open source i modele uczenia maszynowego do rozpoznawania obrazów.

- To repozytorium miało adres URL ze zbyt zezwalającym na ingerencję tokenem sygnatury dostępu współdzielonego (SAS) dla wewnętrznego konta usługi Azure Storage. Należy ono do firmy Microsoft i zawiera prywatne dane - wyjaśnia theregister.com na podstawie raportu Wiz.

Sygnatura dostępu współdzielonego (SAS) ma według Microsoftu zapewniać bezpieczny dostęp do zasobów na koncie magazynu. Dzięki SAS-owi właściciel ma posiadać pełną kontrolę nad tym, w jaki sposób klient może uzyskać dojście do danych . Użytkownik może dostosować poziom dostępu, od tylko do odczytu do pełnej kontroli. W przypadku omawianym przez badaczy z Wiz token SAS został błędnie skonfigurowany przez jednego z pracowników, ponieważ ustawił w nim uprawnienia pełnej kontroli.

To dało zespołowi Wiz – i potencjalnie osobom o bardziej nikczemnych zamiarach , niż testy bezpieczeństwa – możliwość przeglądania wszystkiego na koncie magazynu, a ponadto każda taka osoba mogła usunąć lub zmienić istniejące pliki, wyjaśnia theregister.com.

Korzystasz z takich aplikacji? Lepiej je usuń, generują spore problemy
Największa chińska inwestycja w Polsce. Mowa o kwocie na poziomie 6 miliardów złotych

Terabajty poufnych danych dostępne dla każdego

Co w związku z tym? Otóż badacze z Wiz zaalarmowali Microsoft o wydarzeniu i przestrzegli przed “nieszczelnym” kontem magazynu. Taki stan rzeczy był “zasługą” jednego z pracowników, który przypadkiem ujawnił gigantyczną ilość danych wrażliwych przez ustawienie złych uprawnień.

- Nasz skan pokazuje, że to konto zawierało też 38 TB danych poufnych, w tym kopie zapasowe komputerów osobistych pracowników Microsoft – powiedzieli Ben-Sasson i Greenberg. - Kopie zapasowe zawierały wrażliwe dane osobowe, w tym hasła do usług Microsoft, tajne klucze i ponad 30 tys. wewnętrznych wiadomości Microsoft Teams od 359 pracowników Microsoft.

Microsoft ze swojej strony twierdzi jednak, że kopie zapasowe komputerów osobistych należały do ​​dwóch byłych już pracowników.

Ponadto, jak twierdzi serwis theregister.com, Microsoft zbagatelizował ten błąd i stwierdził, że chodzi teraz jedynie o „podzielenie się wnioskami”, aby pomóc klientom uniknąć popełniania podobnych błędów .

- Z powodu tego problemu nie zostały ujawnione żadne dane klientów ani żadne inne usługi wewnętrzne nie były zagrożone. W odpowiedzi na ten problem nie są wymagane żadne działania ze strony klienta - stwierdził zespół Microsoft Security Response Center.

Jest reakcja Microsoftu

Po otrzymaniu powiadomienia o zagrożeniu firma z Redmond poinformowała, że unieważniła wspomniany przez Wiz token SAS, aby uniemożliwić zewnętrzny dostęp do konta magazynu i załatała wyciek.

W raporcie przygotowanym przez Microsoft Security Response Center jako odpowiedź na zgłoszenie badaczy z Wiz, można przeczytać również, że przeprowadzone zostało dodatkowe dochodzenie, aby zrozumieć, czy istnieje jakiś potencjalny wpływ wycieku na klientów lub działanie usług Microsoftu. Według ekspertów z Redmond dochodzenie wykazało, że przypadkowy wyciek spowodowany przez jednego z pracowników nie miał wpływu na zagrożenie dla klientów.

Jak podaje theregister.com, gigant z Redmond obiecuje również poprawić inne swoje działania.

- Microsoft stale ulepsza zestaw narzędzi do wykrywania i skanowania, aby proaktywnie identyfikować takie przypadki nadmiernie udostępnianych adresów URL SAS i wzmacniać naszą standardową bezpieczną postawę.

Jak jednak podkreśla wspomniany serwis, to niestety nie jest jedyny problem Microsoftu z uwierzytelnianiem opartym na kluczach . Zaledwie w lipcu br. chińscy szpiedzy ukradli tajny klucz Microsoftu i włamywali się na konta e-mail rządu USA, przypomina źródło.

Ta firma jest warta fortunę. Wygrywa w rankingu najcenniejszych marek świata. Co ma na to wpływ?
Obserwuj nas w
autor
Paula Drechsler

Redaktor Biznesinfo.

Chcesz się ze mną skontaktować? Napisz adresowaną do mnie wiadomość na mail: Dariusz.dziduch@iberion.pl
biznes finanse technologie praca handel Eko Energetyka polska i świat