Bộ phận nghiên cứu AI của Microsoft đã vô tình làm lộ lọt hàng chục terabyte dữ liệu nhạy cảm bắt đầu từ tháng 7/2020, khi đang đóng góp các mô hình học tập AI nguồn mở cho kho lưu trữ GitHub.
Gần 3 năm sau, điều này được phát hiện bởi công ty an ninh đám mây Wiz. Các nhà nghiên cứu phát hiện ra rằng, một nhân viên của Microsoft đã vô tình chia sẻ URL cho bucket lưu trữ Azure Blob bị định cấu hình sai. Microsoft đã liên kết các dữ liệu này với việc sử dụng token Shared Access Signature (SAS) quá dễ dãi, cho phép toàn quyền kiểm soát các tệp được chia sẻ.
Khi được sử dụng đúng cách, token SAS sẽ cung cấp một phương tiện an toàn để cấp quyền truy cập vào các tài nguyên trong tài khoản lưu trữ của bạn. Điều này bao gồm kiểm soát chính xác quyền truy cập dữ liệu của khách hàng, chỉ định các tài nguyên mà họ có thể tương tác, xác định các quyền của họ liên quan đến các tài nguyên này và xác định thời hạn hiệu lực của mã thông báo SAS.
“Do thiếu giám sát và quản trị, token SAS gây ra rủi ro an ninh và việc sử dụng chúng phải hạn chế nhất có thể. Những token này rất khó theo dõi vì Microsoft không cung cấp cách tập trung để quản lý chúng trong cổng Azure”, Wiz cảnh báo.
“Ngoài ra, các token này có thể được định cấu hình để tồn tại mà không có thời gian hết hạn. Do đó, việc sử dụng token Tài khoản SAS để chia sẻ ra bên ngoài là không an toàn và nên tránh”.
38TB dữ liệu riêng tư bị lộ lọt bao gồm các bản sao lưu thông tin cá nhân của nhân viên Microsoft, mật khẩu cho các dịch vụ của Microsoft, khóa bí mật và kho lưu trữ hơn 30.000 tin nhắn Microsoft Teams nội bộ của 359 nhân viên Microsoft.
Trung tâm phản hồi an ninh Microsoft (MSRC) cho biết không có dữ liệu khách hàng nào bị lộ và không có dịch vụ nội bộ nào khác gặp nguy hiểm do sự cố này.
Sau khi được thông báo về vụ việc vào ngày 22/06/2023, chỉ 2 ngày sau đó MSRC đã thu hồi token SAS để chặn tất cả quyền truy cập bên ngoài vào tài khoản lưu trữ Azure.
Nguồn: Bleeping Computer