Το ερευνητικό τμήμα AI της Microsoft διέρρευσε κατά λάθος δεκάδες terabyte ευαίσθητων ιδιωτικών δεδομένων. Το πρόβλημα ξεκίνησε από τον Ιούλιο του 2020 μέσω των μοντέλων εκμάθησης τεχνητής νοημοσύνης ανοιχτού κώδικα που πρόσφερε η εταιρεία σε ένα δημόσιο αποθετήριο GitHub.
Χρειάστηκε να περάσουν σχεδόν τρία χρόνια για να ανακαλυφθεί το πρόβλημα από την εταιρεία ασφάλειας cloud Wiz. Οι ερευνητές ασφαλείας της Wiz διαπίστωσαν ότι ένας υπάλληλος της Microsoft μοιράστηκε κατά λάθος τη διεύθυνση URL ενός λάθος διαμορφωμένου κάδο αποθήκευσης Azure Blob που περιείχε τις πληροφορίες που διέρρευσαν.
Η Microsoft συνέδεσε την διαρροή των δεδομένων με τη χρήση ενός Shared Access Signature (SAS) token, το οποίο επέτρεπε τον πλήρη έλεγχο των κοινόχρηστων αρχείων. Αυτή η δυνατότητα που προσφέρεται από το Azure επιτρέπει την κοινή χρήση δεδομένων με τρόπο που περιγράφεται από τους ερευνητές του Wiz ως πρόκληση για την παρακολούθηση και την ανάκληση.
Εάν χρησιμοποιηθούν σωστά, τα Shared Access Signature (SAS) tokens προσφέρουν ένα ασφαλές μέσο εκχώρησης πρόσβασης σε αρχεία εντός του αποθηκευτικού χώρου.
Αυτό περιλαμβάνει τον ακριβή έλεγχο της πρόσβασης στα δεδομένα του πελάτη, τον καθορισμό των πόρων με τους οποίους μπορούν να αλληλεπιδράσουν, τον καθορισμό των αδειών τους σχετικά με αυτούς τους πόρους και τον προσδιορισμό της διάρκειας ισχύος του SAS token.
“Λόγω έλλειψης παρακολούθησης και ελέγχου, τα SAS tokens αποτελούν κίνδυνο για την ασφάλεια. Η χρήση τους θα πρέπει να είναι όσο το δυνατόν περιορισμένη. Αυτά τα tokens είναι πολύ δύσκολο να εντοπιστούν, καθώς η Microsoft δεν παρέχει έναν κεντρικό τρόπο διαχείρισής τους εντός του Azure», σημείωσε η Wiz.
“Επιπλέον, αυτά τα tokens μπορούν να ρυθμιστούν ώστε να διαρκούν για πάντα, χωρίς ανώτατο όριο στον χρόνο λήξης τους. Επομένως, η χρήση SAS tokens για εξωτερική κοινή χρήση δεν είναι ασφαλής και θα πρέπει να αποφεύγεται.”
Σχόλιο Olet
Γενικότερα, τα tokens ασφαλείας δεν είναι κάτι κακό. Είναι ο ενδεδειγμένος τρόπος παροχής πρόσβασης σε εφαρμογές και APIs προς περιοχές μεγάλης ασφαλείας. Αντί να δίνεις passwords, δίνεις κρυπτογραφημένα tokens και είσαι ήσυχος ότι υπάρχει ασφάλεια στην επικοινωνία. Για τη σωστή διαχείρισή τους, όμως, θα πρέπει να υπάρχει λεπτομερής καταγραφή της χρήσης τους από κάθε τεχνικό ασφαλείας. Αυτό δεν περιορίζεται μόνο στο Azure αλλά είναι ευρύτερο θέμα.
Οι συνέπειες της διαρροής 38 TB ιδιωτικών δεδομένων από το Azure
Η ερευνητική ομάδα του Wiz διαπίστωσε ότι εκτός από τα μοντέλα ανοιχτού κώδικα, ο λογαριασμός από όπου διέρρευσαν τα δεδομένα επέτρεψε επίσης ακούσια πρόσβαση σε πρόσθετα ιδιωτικά δεδομένα αξίας 38 TB.
Τα δεδομένα περιελάμβαναν αντίγραφα ασφαλείας προσωπικών πληροφοριών που ανήκουν σε υπαλλήλους της Microsoft, συμπεριλαμβανομένων κωδικών πρόσβασης για υπηρεσίες της Microsoft, μυστικών κλειδιών και αρχείου με περισσότερα από 30.000 εσωτερικά μηνύματα του Microsoft Teams που προέρχονται από 359 υπαλλήλους της Microsoft.
Σχόλιο Olet
Είναι κρίμα να προκύπτουν τόσο σοβαρά προβλήματα από ένα τόσο μικρό και απρόσμενο λάθος. 🙁
Σύμφωνα με δήλωση του Microsoft Security Response Center (MSRC), η Microsoft είπε ότι δεν εκτέθηκαν δεδομένα πελατών της και ότι καμία άλλη εσωτερική υπηρεσία δεν κινδύνευσε λόγω αυτού του συμβάντος.
Η Wiz ανέφερε το περιστατικό στο MSRC στις 22 Ιουνίου 2023, το οποίο ανακάλεσε το SAS token για να αποκλείσει κάθε εξωτερική πρόσβαση στον αποθηκευτικό λογαριασμό Azure, μετριάζοντας το πρόβλημα στις 24 Ιουνίου 2023.