Специалистите на изследователския отдел на Microsoft, който се занимава с проучвания в областта на изкуствения интелект, случайно са споделили няколко десетки терабайта поверителни данни, включително пароли и лични ключове. Информацията е била предоставена при публикуването на масив от учебни данни в проект с отворен код в GitHub.

На потребителите на популярната софтуерна платформа бе предоставен достъп до изходния код и модела на изкуствения интелект за разпознаване на изображения, както и възможност за изтегляне на материали чрез URL от хранилището Azure. Експертите от стартъпа за облачна сигурност Wiz са установили, че URL адресът дава на потребителя пълен достъп до облачното хранилище, в това число 38 Тбайта чувствителна информация, включително резервни копия на личните компютри на двама служители на Microsoft. Масивът включвал и пароли за различните услуги на Microsoft, секретни ключове за достъп и над 30 000 съобщения от месинджъра Microsoft Teams на няколкостотин служители на Microsoft.

Този URL адрес, достъпен още от 2020 г., съдържа токен със споделена сигнатура за достъп, който не само дава възможност за четене на данни от хранилището Azure, но и привилегии за добавяне и редактиране - всеки може да публикува злонамерено съдържание на този адрес. Wiz съобщи на Microsoft за откритието си на 22 юни, а токенът за привилегирован достъп бе премахнат на 24 юни. Разследването на инцидента от страна на корпорацията приключи на 16 август.

Изданието RechCrunch уточнява, че това хранилище е съдържало URL адрес с прекалено разрешителен токен за споделен подпис за достъп (SAS) за вътрешен акаунт за съхранение в Azure, собственост на Microsoft, съдържащ частни данни.

SAS токенът е подписан URL адрес, който предоставя определено ниво на достъп до ресурсите на Azure Storage. Потребителят може да персонализира нивото на достъп – от само за четене до пълен контрол, а в този случай SAS токенът е бил неправилно конфигуриран с разрешения за даване на права за пълен контрол.
Това не само е дало възможност на екипа на Wiz – и на потенциално по-недобросъвестни хакери – да преглеждат всичко в акаунта за съхранение, но също така те са можели да изтрият или променят съществуващи файлове.

Microsoft от своя страна заяви, че резервните копия на личните компютри са принадлежали на двама бивши служители. След като са били уведомени за разкриването от 22 юни, от Редмънд казват, че са премахнали SAS токена, за да предотвратят всякакъв външен достъп до акаунта за съхранение, и са запушили това изтичане още на 24 юни.

В резултат на инцидента "не са били разкрити каквито и да било клиентски данни и няма компрометирани вътрешни услуги в резултат от този проблем", допълва Microsoft. Компанията е разширила защитните функции на GitHub, като е включила нови механизми за контрол върху разкриването на идентификационните данни и друга чувствителна информация - включително споделените токени, които могат да имат изключително широки привилегии и дълъг срок на валидност.