A Microsoft acaba de lançar acidentalmente 38TB de dados privados | ENBLE
Microsoft accidentally releases 38TB of private data.
Foi revelado recentemente que pesquisadores da Microsoft vazaram acidentalmente 38TB de informações confidenciais na página do GitHub da empresa, onde potencialmente qualquer pessoa poderia vê-las. Entre o tesouro de dados estava um backup do trabalho de dois ex-funcionários, que continha chaves, senhas, segredos e mais de 30.000 mensagens privadas do Teams.
De acordo com a empresa de segurança em nuvem Wiz, o vazamento foi publicado no repositório de inteligência artificial (IA) da Microsoft no GitHub e foi acidentalmente incluído em um conjunto de dados de treinamento de código aberto. Isso significa que os visitantes foram incentivados a baixá-lo, o que significa que poderia ter caído nas mãos erradas repetidas vezes.
Vazamentos de dados podem vir de várias fontes, mas será particularmente embaraçoso para a Microsoft que este tenha sido originado por seus próprios pesquisadores de IA. O relatório da Wiz afirma que a Microsoft enviou os dados usando tokens de Assinatura de Acesso Compartilhado (SAS), um recurso do Azure que permite que os usuários compartilhem dados por meio de contas de Armazenamento do Azure.
Os visitantes do repositório foram instruídos a baixar os dados de treinamento de uma URL fornecida. No entanto, o endereço da web concedia acesso a muito mais do que apenas os dados de treinamento planejados, permitindo que os usuários navegassem por arquivos e pastas que não deveriam ser publicamente acessíveis.
Controle total
A situação piora. O token de acesso que permitiu tudo isso foi configurado incorretamente para fornecer permissões de controle total, conforme relatado pela Wiz, em vez de permissões apenas de leitura mais restritas. Na prática, isso significava que qualquer pessoa que visitasse a URL poderia excluir e sobrescrever os arquivos encontrados, não apenas visualizá-los.
- Apple lança o software HomePod 17 com aprimoramento do Siri AirPlay...
- A Apple lança novos planos do iCloud+ de 6TB e 12TB
- Obtenha o Microsoft Office para Mac ou Windows por apenas $35
A Wiz explica que isso poderia ter consequências graves. Como o repositório estava cheio de dados de treinamento de IA, a intenção era que os usuários os baixassem e os inserissem em um script, melhorando assim seus próprios modelos de IA.
No entanto, porque estava aberto à manipulação devido às permissões configuradas incorretamente, “um atacante poderia ter injetado código malicioso em todos os modelos de IA nesta conta de armazenamento, e todos os usuários que confiam no repositório GitHub da Microsoft teriam sido infectados por ele”, explica a Wiz.
Potencial de desastre
O relatório também observou que a criação de tokens SAS – que concedem acesso a pastas de Armazenamento do Azure como esta – não cria nenhum tipo de rastro, o que significa que “não há como um administrador saber que esse token existe e onde ele circula”. Quando um token tem permissões de acesso total como este tinha, os resultados podem ser potencialmente desastrosos.
Felizmente, a Wiz explica que relatou o problema à Microsoft em junho de 2023. O token SAS vazado foi substituído em julho, e a Microsoft concluiu sua investigação interna em agosto. A falha de segurança só foi relatada ao público agora para permitir tempo para corrigi-la completamente.
É um lembrete de que até mesmo ações aparentemente inocentes podem levar a vazamentos de dados. Felizmente, o problema foi corrigido, mas não se sabe se os hackers tiveram acesso a algum dos dados sensíveis do usuário antes de serem removidos.
