Microsoft liberó accidentalmente 38 TB de datos privados en una filtración importante
Se acaba de revelar que investigadores de Microsoft filtraron accidentalmente 38 TB de información confidencial en la página GitHub de la compañía, donde potencialmente cualquiera podría verla. Entre los datos escondidos se encontraba una copia de seguridad de las estaciones de trabajo de dos ex empleados, que contenía claves, contraseñas, secretos y más de 30.000 mensajes privados de Teams.
Según la firma de seguridad en la nube Wiz , la filtración se publicó en el repositorio GitHub de inteligencia artificial (IA) de Microsoft y se incluyó accidentalmente en un tramo de datos de capacitación de código abierto. Eso significa que se animó a los visitantes a descargarlo, lo que significa que podría haber caído en las manos equivocadas una y otra vez.
Las filtraciones de datos pueden provenir de todo tipo de fuentes, pero será particularmente vergonzoso para Microsoft que esta se haya originado con sus propios investigadores de IA. El informe de Wiz indica que Microsoft cargó los datos utilizando tokens de firma de acceso compartido (SAS), una característica de Azure que permite a los usuarios compartir datos a través de cuentas de Azure Storage.
A los visitantes del repositorio se les pidió que descargaran los datos de capacitación desde una URL proporcionada. Sin embargo, la dirección web otorgaba acceso a mucho más que solo los datos de entrenamiento planificados y permitía a los usuarios explorar archivos y carpetas que no estaban destinados a ser accesibles públicamente.
Control total
Se pone peor. El token de acceso que permitió todo esto estaba mal configurado para proporcionar permisos de control total, informó Wiz, en lugar de permisos de solo lectura más restrictivos. En la práctica, eso significaba que cualquiera que visitara la URL podía eliminar y sobrescribir los archivos que encontrara, no simplemente verlos.
Wiz explica que esto podría haber tenido consecuencias nefastas. Como el repositorio estaba lleno de datos de entrenamiento de IA , la intención era que los usuarios los descargaran y los introdujeran en un script, mejorando así sus propios modelos de IA.
Sin embargo, debido a que estaba abierto a la manipulación gracias a sus permisos configurados incorrectamente, "un atacante podría haber inyectado código malicioso en todos los modelos de IA en esta cuenta de almacenamiento, y todos los usuarios que confían en el repositorio GitHub de Microsoft habrían sido infectados por él", dijo Wiz. explica.
Desastre potencial
El informe también señaló que la creación de tokens SAS, que otorgan acceso a carpetas de Azure Storage como esta, no crea ningún tipo de rastro en papel, lo que significa que "no hay forma de que un administrador sepa que este token existe y dónde circula". .” Cuando un token tiene permisos de acceso completo como este, los resultados pueden ser potencialmente desastrosos.
Afortunadamente, Wiz explica que informó del problema a Microsoft en junio de 2023. El token SAS con fugas fue reemplazado en julio y Microsoft completó su investigación interna en agosto. La falla de seguridad acaba de ser informada al público para dar tiempo a solucionarla por completo.
Es un recordatorio de que incluso acciones aparentemente inocentes pueden conducir potencialmente a violaciones de datos. Afortunadamente, el problema se solucionó, pero se desconoce si los piratas informáticos obtuvieron acceso a alguno de los datos confidenciales del usuario antes de que se eliminaran.