Microsoft ha appena rilasciato accidentalmente 38TB di dati privati | ENBLE

Microsoft ha rilasciato accidentalmente 38TB di dati privati.

È appena stato rivelato che i ricercatori di Microsoft hanno accidentalmente rilasciato 38TB di informazioni riservate sulla pagina GitHub dell’azienda, dove potenzialmente chiunque poteva vederle. Tra i dati c’era un backup delle postazioni di lavoro di due ex dipendenti, che conteneva chiavi, password, segreti e oltre 30.000 messaggi privati di Teams.

Secondo la società di sicurezza cloud Wiz, la fuga è stata pubblicata nel repository GitHub sull’intelligenza artificiale (AI) di Microsoft ed è stata accidentalmente inclusa in un insieme di dati di addestramento open source. Ciò significa che ai visitatori è stato consigliato di scaricarlo, il che significa che poteva finire nelle mani sbagliate ancora e ancora.

Stock Depot / Getty Images

Le violazioni dei dati possono provenire da tutte le tipologie di fonti, ma sarà particolarmente imbarazzante per Microsoft che questa sia originata dai propri ricercatori di intelligenza artificiale. Il rapporto di Wiz afferma che Microsoft ha caricato i dati utilizzando i token di firma di accesso condiviso (SAS), una funzionalità di Azure che consente agli utenti di condividere dati attraverso gli account di archiviazione di Azure.

Ai visitatori del repository è stato detto di scaricare i dati di addestramento da un URL fornito. Tuttavia, l’indirizzo web forniva accesso a molto più di quanto previsto dai dati di addestramento pianificati e consentiva agli utenti di sfogliare file e cartelle che non erano destinati ad essere accessibili pubblicamente.

Controllo completo

Sora Shimazaki / Pexels

La situazione peggiora. Il token di accesso che ha consentito tutto ciò era configurato in modo errato per fornire autorizzazioni di controllo completo, ha riportato Wiz, anziché autorizzazioni di sola lettura più restrittive. In pratica, ciò significava che chiunque visitasse l’URL avrebbe potuto eliminare e sovrascrivere i file trovati, non solo visualizzarli.

Wiz spiega che ciò avrebbe potuto avere conseguenze disastrose. Poiché il repository era pieno di dati di addestramento AI, l’intenzione era che gli utenti lo scaricassero e lo alimentassero in uno script, migliorando così i propri modelli di intelligenza artificiale.

Tuttavia, poiché era aperto alla manipolazione grazie alle autorizzazioni configurate erroneamente, “un attaccante avrebbe potuto iniettare codice maligno in tutti i modelli di intelligenza artificiale in questo account di archiviazione e ogni utente che si fida del repository di GitHub di Microsoft sarebbe stato infettato da esso”, spiega Wiz.

Potenziale disastro

ENBLE

Il rapporto ha anche notato che la creazione di token SAS, che concedono accesso alle cartelle di archiviazione di Azure come questa, non crea alcun tipo di traccia documentale, il che significa che “non esiste modo per un amministratore di sapere che questo token esiste e in che circolazione si trova”. Quando un token ha autorizzazioni di accesso completo come questo, i risultati possono essere potenzialmente disastrosi.

Fortunatamente, Wiz spiega di aver segnalato il problema a Microsoft nel giugno 2023. Il token SAS fu sostituito a luglio e Microsoft completò la sua indagine interna ad agosto. La falla di sicurezza è stata segnalata solo ora al pubblico per consentire il tempo di risolverla completamente.

È un promemoria che anche azioni apparentemente innocenti possono potenzialmente portare a violazioni dei dati. Fortunatamente il problema è stato risolto, ma non si sa se gli hacker abbiano avuto accesso a qualche dato sensibile degli utenti prima della sua rimozione.