A divisão de pesquisa de inteligência artificial (IA) da Microsoft vazou acidentalmente dezenas de terabytes de dados confidenciais a partir de julho de 2020, enquanto contribuía com modelos de aprendizado de IA de código aberto para um repositório público do GitHub.
O vazamento foi descoberto quase três anos depois pela empresa de segurança em nuvem Wiz. Os pesquisadores da empresa suspeitam que um funcionário da Microsoft compartilhou inadvertidamente a URL de um bucket (contêiner) de armazenamento de Blob do Azure, configurado incorretamente, contendo as informações vazadas.
A Microsoft vinculou a exposição de dados ao uso de um token SAS (de assinatura de acesso compartilhado) excessivamente permissivo, que permitia controle total sobre os arquivos compartilhados. Esse recurso do Azure permite o compartilhamento de dados de uma maneira descrita pelos pesquisadores da Wiz como desafiadora para monitorar e revogar.
Quando usados corretamente, os tokens SAS oferecem um meio seguro de conceder acesso a recursos em sua conta de armazenamento. Isso inclui controle preciso sobre o acesso aos dados do cliente, especificando os recursos com os quais eles podem interagir, definindo suas permissões em relação a esses recursos e determinando a duração da validade do token SAS.
“Devido à falta de monitoramento e governança, os tokens SAS representam um risco à segurança e seu uso deve ser o mais limitado possível. Esses tokens são muito difíceis de rastrear, pois a Microsoft não fornece uma maneira centralizada de gerenciá-los no portal do Azure”, alertou a Wiz nesta segunda-feira, 18. “Além disso, esses tokens podem ser configurados para durar efetivamente para sempre, sem limite máximo em seu tempo de expiração. Portanto, usar tokens SAS de conta para compartilhamento externo não é seguro e deve ser evitado.”
A equipe de pesquisadores da Wiz descobriu que, além dos modelos de código aberto, a conta de armazenamento interno também permitia inadvertidamente o acesso a 38 terabytes (TB) de dados privados adicionais.
Os dados expostos incluíam backups de informações pessoais pertencentes a funcionários da Microsoft, incluindo senhas para serviços da Microsoft, chaves secretas e um arquivo de mais de 30 mil mensagens internas do Microsoft Teams originadas de 359 funcionários da empresa.
Em um comunicado nesta segunda-feira da equipe do Microsoft Security Response Center (MSRC), a empresa disse que nenhum dado de cliente foi exposto e nenhum outro serviço interno enfrentou risco devido a esse incidente.De acordo com a Wiz, a equipe de resposta de segurança da Microsoft invalidou o token SAS dois dias após a divulgação inicial, em junho deste ano. O token foi substituído no GitHub um mês depois.
* Com informações do CISO Advisor
