Der Security Anbieter Wiz hat beim stöbern im KI-GitHub-Repository von Microsoft 38 TByte an Daten gefunden samt 30.000 internen Teams-Nachrichten. Laut Wiz hat ein vom KI-Forschungsteam falsch konfiguriertes SAS-Token das Problem ausgelöst.
Laut dem Wiz Research Team hat das KI-Forschungsteam von Microsoft bei der Veröffentlichung von Open-Source-Schulungsdaten auf GitHub ein paar eklatante Fehler gemacht. Anscheinend wurde bei der Veröffentlichung von Daten versehentlich insgesamt 38 Terabyte an Daten zur Veröffentlichung markiert und dann auch veröffentlicht. Darunter: private Daten, ein Festplatten-Backup der Workstations zweier Mitarbeiter.
38 TByte Daten samt Token, Passwörter und Schlüssel
Ausversehen veröffentlichte das Team ein Backup mit vertraulichen Daten, privaten Schlüsseln, Passwörtern und über 30.000 internen Microsoft Teams-Nachrichten. Die Forscher teilten ihre Dateien mithilfe einer Azure-Funktion namens SAS-Tokens, die es Ihnen ermöglicht, Daten von Azure Storage-Konten zu teilen. Die Zugriffsebene kann nur auf bestimmte Dateien beschränkt werden; In diesem Fall war der Link jedoch so konfiguriert, dass das gesamte Speicherkonto gemeinsam genutzt wird – einschließlich weiterer 38 TB privater Dateien.
So wurden die Daten entdeckt
Im Rahmen der laufenden Arbeit des Wiz-Forschungsteams untersucht das Team in der Cloud gehosteten Daten. Besonders oft lassen sich dabei falsch konfigurierten Speichercontainer finden. In diesem Fall fand das Team ein GitHub-Repository unter der Microsoft-Organisation namens robust-models-transfer. Das Repository gehört zur KI-Forschungsabteilung von Microsoft und dient der Bereitstellung von Open-Source-Code und KI-Modellen für die Bilderkennung.
Leser des Repositorys wurden angewiesen, die Modelle von einer Azure Storage-URL herunterzuladen. Diese URL hat das Wiz-Team einfach einmal aufgerufen. Diese URL ermöglichte jedoch den Zugriff auf mehr als nur Open-Source-Modelle. Durch eine Falschkonfiguration wurde nicht nur der Zugriff auf die Open-Source-Modelle erlaubt, sondern für das gesamte Speicherkonto. Dabei wurden dann auch versehentlich die privaten Daten offengelegt. Ein folgender Scan zeigte, dass dieses Konto 38 TB zusätzliche Daten enthielt – einschließlich der PC-Backups von Microsoft-Mitarbeitern. Die Backups enthielten sensible persönliche Daten, darunter Passwörter für Microsoft-Dienste, geheime Schlüssel und über 30.000 interne Microsoft Teams-Nachrichten von 359 Microsoft-Mitarbeitern.
Eine weitere ausführliche Beschreibung der Fehlkonfiguration und ihre Folgen im einzelnen beschreibt das Wiz-Team in seinem ausführlichen Blogbeitrag.
Mehr bei WIZ.io
Über Wiz
Wir erfinden die Cloud-Sicherheit von innen heraus neu. Unter der Leitung eines erfahrenen und visionären Teams haben wir es uns zur Aufgabe gemacht, Unternehmen bei der Schaffung sicherer Cloud-Umgebungen zu unterstützen, die ihre Geschäfte beschleunigen. Durch die Schaffung einer normalisierenden Ebene zwischen Cloud-Umgebungen ermöglicht unsere Plattform Unternehmen, kritische Risiken schnell zu erkennen und zu beseitigen.