Microsoft случайно открыла доступ к терабайтам конфиденциальной информации всем желающим

Специализирующиеся на искусственном интеллекте сотрудники научного подразделения Microsoft случайно выложили в общий доступ несколько десятков терабайтов конфиденциальных данных, включающих пароли и закрытые ключи. Информация была раскрыта при публикации на GitHub массива обучающих данных в проекте с открытым исходным кодом.

Пользователям общедоступного репозитория GitHub был открыт исходный код и модель ИИ для распознавания изображений, а также возможность загрузки материалов по URL-адресу из хранилища Azure. Эксперты стартапа Wiz, специализирующегося на вопросах облачной безопасности, обнаружили, что данный URL-адрес открывал пользователю полный доступ к облачному хранилищу, включая 38 Тбайт конфиденциальной информации, в том числе личные резервные копии ПК двух сотрудников Microsoft. В массиве также оказались пароли к службам Microsoft, секретные ключи доступа и более 30 000 сообщений из мессенджера Microsoft Teams от нескольких сотен сотрудников Microsoft.

Данный URL-адрес, доступный с 2020 года, содержал токен подписи общего доступа, который позволял не только читать данные из хранилища Azure, но и давал привилегии для их добавления и редактирования — любой желающий мог разместить там вредоносный контент. В Wiz сообщили о своём открытии Microsoft 22 июня, и 24 июня токен привилегированного доступа был отозван. Расследование инцидента в корпорации завершили 16 августа.

В результате инцидента «не было раскрыто клиентских данных, и прочие внутренние службы в связи с этой проблемой не были подвержены угрозе», по версии Microsoft. Компания расширила возможности службы безопасности GitHub, добавив в неё новые функции контроля за раскрытием учётных данных и прочей закрытой информации — в их число были включены токены общего доступа, которые могут иметь чрезвычайно широкие привилегии и продолжительные сроки действия.