Le fournisseur de sécurité Wiz a trouvé 38 To de données, dont 30.000 XNUMX messages internes Teams, en parcourant le référentiel AI GitHub de Microsoft. Selon Wiz, un jeton SAS mal configuré par l'équipe de recherche en IA a déclenché le problème.
Selon l'équipe de recherche Wiz, l'équipe de recherche en IA de Microsoft a commis quelques erreurs flagrantes lors de la publication de données de formation open source sur GitHub. Apparemment, lors de la publication des données, un total de 38 téraoctets de données ont été accidentellement marqués pour publication, puis publiés. Parmi eux : des données privées, une sauvegarde du disque dur des postes de travail de deux salariés.
38 To de données, y compris les jetons, mots de passe et clés
L'équipe a accidentellement publié une sauvegarde contenant des données sensibles, des clés privées, des mots de passe et plus de 30.000 38 messages internes de Microsoft Teams. Les chercheurs ont partagé leurs fichiers à l'aide d'une fonctionnalité Azure appelée jetons SAS, qui vous permet de partager des données à partir de comptes de stockage Azure. Le niveau d'accès ne peut être limité qu'à certains fichiers ; Cependant, dans ce cas, le lien a été configuré pour partager l'intégralité du compte de stockage, y compris XNUMX To supplémentaires de fichiers privés.
C'est ainsi que les données ont été découvertes
Dans le cadre des travaux en cours de l'équipe de recherche Wiz, l'équipe étudie les données hébergées dans le cloud. Des conteneurs de stockage mal configurés peuvent souvent être trouvés. Dans ce cas, l’équipe a trouvé un référentiel GitHub sous l’organisation Microsoft appelé robuste-models-transfer. Le référentiel fait partie de la division de recherche sur l'IA de Microsoft et est utilisé pour fournir du code open source et des modèles d'IA pour la reconnaissance d'images.
Les lecteurs du référentiel ont été invités à télécharger les modèles à partir d’une URL de stockage Azure. L'équipe Wiz a simplement appelé cette URL une seule fois. Cependant, cette URL permettait d’accéder à bien plus que de simples modèles open source. Une mauvaise configuration a permis l'accès non seulement aux modèles open source, mais à l'intégralité du compte de stockage. Les données privées ont ensuite été accidentellement divulguées. Une analyse ultérieure a montré que ce compte contenait 38 To de données supplémentaires, y compris les sauvegardes des PC des employés de Microsoft. Les sauvegardes contenaient des données personnelles sensibles, notamment des mots de passe d'accès aux services Microsoft, des clés secrètes et plus de 30.000 359 messages internes Microsoft Teams provenant de XNUMX employés de Microsoft.
L'équipe Wiz décrit une description plus détaillée de la mauvaise configuration et de ses conséquences dans son article de blog détaillé.
Plus sur WIZ.io
À propos de Wiz
Nous réinventons la sécurité du cloud de l'intérieur vers l'extérieur. Dirigée par une équipe expérimentée et visionnaire, notre mission est d'aider les entreprises à créer des environnements cloud sécurisés qui accélèrent leur activité. En créant une couche de normalisation entre les environnements cloud, notre plateforme permet aux organisations d'identifier et de remédier rapidement aux risques critiques.