A Microsoft anunciou na segunda-feira que tomou medidas para corrigir uma falha de segurança gritante que resultou na exposição de 38 terabytes de dados privados.
O vazamento foi descoberto no repositório AI GitHub da empresa e teria sido inadvertidamente tornado público ao publicar um conjunto de dados de treinamento de código aberto, disse a Wiz.
Incluía também um backup de disco das estações de trabalho de dois ex-funcionários contendo segredos, chaves, senhas e mais de 30.000 mensagens internas do Teams.
O repositório, denominado "robust-models-transfer", não está mais acessível.
Antes de sua remoção, apresentava código fonte e modelos de aprendizado de máquina referentes a um artigo de pesquisa de 2020 intitulado "Do Adversarially Robust ImageNet Models Transfer Better?"
"A exposição ocorreu como resultado de um token SAS excessivamente permissivo - um recurso do Azure que permite aos usuários compartilhar dados de maneira difícil de rastrear e revogar", disse a Wiz em um relatório.
A questão foi relatada à Microsoft em 22 de junho de 2023.
Especificamente, o arquivo README.md do repositório instruiu os desenvolvedores a baixar os modelos a partir de uma URL de armazenamento Azure que, por acidente, também concedia acesso à conta de armazenamento inteira, expondo dados privados adicionais.
"Além do escopo de acesso excessivamente permissivo, o token também foi configurado incorretamente para permitir permissões de 'controle total' em vez de apenas leitura", disseram os pesquisadores da Wiz, Hillai Ben-Sasson e Ronny Greenberg.
"Ou seja, não só um invasor poderia ver todos os arquivos na conta de armazenamento, mas também poderia excluir e substituir arquivos existentes."
Em resposta às descobertas, a Microsoft disse que sua investigação não encontrou evidências de exposição não autorizada de dados do cliente e que "nenhum outro serviço interno estava em risco por causa deste problema".
A empresa também enfatizou que os clientes não precisam tomar nenhuma ação de sua parte.
Os fabricantes do Windows observaram ainda que revogou o token SAS e bloqueou todo o acesso externo à conta de armazenamento.
O problema foi resolvido dois dias após a divulgação responsável.
Para mitigar tais riscos no futuro, a empresa expandiu seu serviço de varredura de segredos para incluir qualquer token SAS que possa ter permissões ou términos excessivamente permissivos.
A Microsoft também identificou um bug em seu sistema de varredura que sinalizou a URL SAS específica no repositório como um falso positivo.
"Devido à falta de segurança e governança sobre os tokens da conta SAS, eles devem ser considerados tão sensíveis quanto a própria chave da conta", disseram os pesquisadores.
"Portanto, é altamente recomendável evitar o uso de SAS da conta para compartilhamento externo.
Erros na criação de tokens podem passar facilmente despercebidos e expor dados sensíveis.
UPCOMING WEBINARIdentity é o novo endpoint: dominando a segurança SaaS na era moderna Mergulhe profundamente no futuro da segurança SaaS com Maor Bin, CEO da Adaptive Shield.
Esta não é a primeira vez que contas de armazenamento Azure mal configuradas vêm à tona.
Em julho de 2022, o JUMPSEC Labs destacou um cenário em que um ator de ameaça poderia se aproveitar de tais contas para ganhar acesso a um ambiente empresarial local.
O desenvolvimento é o mais recente erro de segurança da Microsoft e ocorre quase duas semanas depois que a empresa revelou que hackers baseados na China conseguiram infiltrar-se nos sistemas da empresa e roubar uma chave de assinatura altamente sensível, comprometendo a conta corporativa de um engenheiro e provavelmente acessando um despejo de colisão do sistema de assinatura do consumidor.
"A IA tem um enorme potencial para empresas de tecnologia.
No entanto, à medida que os cientistas de dados e engenheiros correm para trazer novas soluções de IA para a produção, os enormes volumes de dados que eles manipulam exigem verificações de segurança adicionais e salvaguardas", disse em uma declaração Ami Luttwak, CTO e co-fundador da Wiz.
"Essa tecnologia emergente requer grandes conjuntos de dados para treinar.
Com muitas equipes de desenvolvimento precisando manipular enormes quantidades de dados, compartilhá-los com seus colegas ou colaborar em projetos de código aberto público, casos como o da Microsoft estão se tornando cada vez mais difíceis de monitorar e evitar."
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...