Microsoft случайно опубликовала SAS‑токен в датасете и раскрыла 38 Тб конфиденциальной информации

Разработчики Microsoft опубликовали на GitHub бесплатный датасет для того, чтоб обучить искусственный интеллект распознавать изображения. Бесплатным оказался не только код, но и доступ к конфиденциальной информации о компании и её сотрудниках. Эксперты из Wiz разобрали инцидент и поделились подробностями.

Как такое вышло?

Вместе с кодом датасета в открытый репозиторий попал токен подписи общего доступа (Shared Access Signature, SAS). В дополнение к этому сотрудники Microsoft неправильно настроили параметры доступа к внутреннему хранилищу данных Azure. Всё это позволило любому пользователю с токеном получить доступ к области сетевого диска, принадлежащей двум работникам компании.

На дисках было всё

Специалистам Wiz удалось получить доступ к архиву объёмом 38 Тб. В папках лежали резервные копии рабочих пространств двух сотрудников Microsoft, пароли, секретные ключи и токены авторизации, конфиденциальные данные, документы и более 30 тысяч сообщений из рабочих чатов Microsoft Teams. Всё это было доступно с 2020 года, а представители Microsoft вовремя не заметили проблему.

Исследователи сообщили о проблеме, и 22 июня 2023 года Microsoft отозвала SAS‑токен. Данные клиентов компании в архивах не обнаружились, но хакеры могли пользоваться лазейкой для управления файлами в корпоративном облачном хранилище Azure.

Microsoft провела работу над ошибками. Теперь открытые данные, публикуемые на GitHub, проверяются строже. К примеру, во время работы над проектом сотрудник может хранить пароли и учётные данные текстом в коде и забыть удалить их перед публикацией. Такие случаи будут отслеживаться, чтобы утечка внутренних данных не повторилась.