Microsoft vaza 32 TB de dados

Os dados expostos incluem backup de estações de trabalho de funcionários, segredos, chaves privadas, senhas e mais de 30.000 mensagens internas do Microsoft Teams.

Outubro 5, 2023 - 19:26
 0  21
Microsoft vaza 32 TB de dados
Falha disponibilizou mais de 30 TB em dados de funcionários e arquivos relevantes.
Experimente Grátis a hospedagem de 1GigaHost

Pesquisadores da Wiz descobriram um grande erro de segurança na Microsoft, que causou a exposição de 38 terabytes de dados privados durante uma atualização rotineira de material de treinamento de IA de código aberto no GitHub.  Simples assim. A Wiz e uma startup de segurança de dados em nuvem fundada por ex-engenheiros de software da Microsoft.  

Suporte cPanel, Plesk, aaPanel, WHMCS e mais.
Proteja seu site com selos de segurança!

Os dados expostos incluem um backup em disco das estações de trabalho de dois funcionários, segredos corporativos, chaves privadas, senhas e mais de 30.000 mensagens internas do Microsoft Teams, disse Wiz em nota que documenta a descoberta.

O problema foi descoberto durante verificações de rotina na Internet em busca de contêineres de armazenamento mal configurados. 

“Encontramos um repositório GitHub na organização da Microsoft chamado robust-models-transfer. O repositório pertence à divisão de pesquisa de IA da Microsoft e seu objetivo é fornecer código-fonte aberto e modelos de IA para reconhecimento de imagens, explicou a empresa.

Ao compartilhar os arquivos, a Microsoft usou um recurso do Azure chamado tokens SAS que permite o compartilhamento de dados de contas de armazenamento do Azure. Embora o nível de acesso possa ser limitado apenas a arquivos específicos, Wiz descobriu que o link foi configurado para compartilhar toda a conta de armazenamento, incluindo outros 38 TB de arquivos privados. 

“Esta URL permitiu acesso a mais do que apenas modelos de código aberto. Ele foi configurado para conceder permissões em toda a conta de armazenamento, expondo dados privados adicionais por engano”, observou Wiz .

“Nossa varredura mostra que esta conta continha 38 TB de dados adicionais – incluindo backups de computadores pessoais de funcionários da Microsoft. Os backups continham dados pessoais confidenciais, incluindo senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams de 359 funcionários da Microsoft”, acrescentou. 

Wiz também descobriu que o token também foi configurado incorretamente para permitir permissões de “controle total” em vez de somente leitura, dando aos invasores o poder de excluir e sobrescrever arquivos existentes.

“Um invasor poderia ter injetado código malicioso em todos os modelos de IA nesta conta de armazenamento, e todos os usuários que confiassem no repositório GitHub da Microsoft teriam sido infectados por ele”, alertou Wiz.

De acordo com Wiz, a equipe de resposta de segurança da Microsoft invalidou o token SAS dois dias após a divulgação inicial em junho deste ano. O token foi substituído no GitHub um mês depois.

A Microsoft publicou sua própria postagem no blog para explicar como ocorreu o vazamento de dados e como tais incidentes podem ser evitados.  “Nenhum dado de cliente foi exposto e nenhum outro serviço interno foi colocado em risco por causa deste problema. Nenhuma ação do cliente é necessária em resposta a este problema”, observou a empresa.

Veja o blog da Microsoft aqui: https://msrc.microsoft.com/blog/2023/09/microsoft-mitigated-exposure-of-internal-information-in-a-storage-account-due-to-overly-permissive-sas-token/
Leia mais aqui: https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

FTP para backup de servidores, hosting, DVR e imagens.