vazou foi tudo

Pesquisadores da Microsoft vazam sem querer 38 TB de dados da empresa

A Microsoft liberou por acidente o acesso a locais privados do repositório GitHub e divulgou uma série de dados sensíveis

Filipe Carbone

19/09/2023 07:32 0

Pesquisadores da Microsoft vazam sem querer 38 TB de dados da empresa — Créditos: Matthew Manuel/Unsplash

A empresa de segurança cibernética Wiz descobriu que 38 terabytes de dados internos da Microsoft foram expostos acidentalmente por erro humano. A falha ocorreu quando a equipe de pesquisa em IA da empresa disponibilizou dados de treinamento em um repositório do GitHub.

O objetivo inicial era fornecer código-fonte aberto e modelos de IA para reconhecimento de imagem à comunidade científica. No entanto, um link incluído nos arquivos deu acesso a backups de computadores de funcionários da Microsoft. Esses backups continham informações sensíveis, incluindo senhas e chaves secretas.

We found a public AI repo on GitHub, exposing over 38TB of private files – including personal computer backups of @Microsoft employees 👨‍💻

How did it happen? 👀
A single misconfigured token in @Azure Storage is all it takes 🧵⬇️ pic.twitter.com/ZWMRk3XK6X
— Hillai Ben-Sasson (@hillai) September 18, 2023

A Microsoft garantiu que nenhum dado de cliente foi exposto devido a este incidente. A empresa também afirmou que nenhum outro serviço interno foi comprometido. O link foi incluído deliberadamente para que pesquisadores interessados pudessem baixar modelos pré-treinados. O problema estava na permissividade do link, que dava acesso a toda a conta de armazenamento.

O incidente foi relatado à Microsoft em 22 de junho, e a empresa revogou o token de acesso em questão no dia seguinte. A empresa também revisou seus repositórios públicos e marcou o link como um “falso positivo”. Desde então, medidas foram tomadas para corrigir o sistema e evitar futuros vazamentos de dados.

Microsoft já sofreu outros vazamentos

Este não é o primeiro incidente de vazamento de dados envolvendo a Microsoft. No ano passado, informações de clientes vazaram devido a um servidor Azure Blob Storage exposto. O problema recorrente levanta questões sobre a segurança dos dados armazenados em serviços de nuvem.

O vazamento incluiu backups de dois ex-funcionários da empresa. Esses backups continham informações como senhas de serviços da Microsoft e mais de 30.000 mensagens internas do Microsoft Teams. Um atacante poderia ter modificado os modelos de IA para introduzir vulnerabilidades.

A empresa agora expandiu o serviço de varredura secreta do GitHub para verificar qualquer token de acesso compartilhado que possa ter permissões excessivas. Tanto a Microsoft quanto a Wiz recomendam que os usuários de tokens de acesso compartilhado sejam extremamente cautelosos ao manuseá-los.

Via: Engadget

Conteúdo Relacionado