Bir Microsoft çalışanının kasıtsız hatası şu duruma yol açtı: 38 terabaytlık devasa miktarda hassas verinin açığa çıkması Açık kaynaklı projeler için popüler bir platform olan GitHub’da. Bu güvenlik hatası şu kişi tarafından keşfedildi: Wiz güvenlik araştırmacılarısorunu derhal Microsoft’a bildirdi.
Olay, Microsoft çalışanının GitHub’da açık kaynaklı yapay zeka eğitim verilerini içeren bir depo yayınladığı sırada meydana geldi. Bu depoda Microsoft’un sahip olduğu dahili bir Azure depolama hesabına bağlı bir URL vardı. Ne yazık ki, URL aşırı derecede hoşgörülü bir şekilde donatılmıştı Paylaşılan Erişim İmzası (SAS) belirteciAzure depolama kaynakları üzerinde tam kontrol sağlar.
Sızan Veriler Hassas Bilgiler İçeriyordu
Güvenlikteki bu eksiklik, yalnızca Wiz güvenlik ekibinin değil, potansiyel olarak kötü niyetli aktörlerin de depolama hesabındaki dosyalara erişmesine, bunları değiştirmesine veya silmesine olanak tanıdı. Ele geçirilen veriler arasında Microsoft hizmetlerinin parolaları, gizli anahtarlar ve 359 Microsoft çalışanı tarafından paylaşılan 30.000’den fazla dahili Microsoft Teams mesajı gibi hassas bilgiler yer alıyordu.
Ayrıca açığa çıkan veriler, iki eski Microsoft çalışanına ait olduğu bildirilen kişisel bilgisayar yedeklerini de içeriyordu.
İhlalin büyüklüğüne rağmen, Microsoft ciddiyetini küçümsedi, hiçbir müşteri verisinin veya dahili hizmetin tehlikeye atılmadığını ve müşterilerden başka bir işlem yapılması gerekmediğini vurguladı. Şirket, 22 Haziran’da SAS tokenını iptal ederek ve sızıntıyı 24 Haziran’a kadar düzelterek hızlı harekete geçti.
“Daha sonra müşterilerimiz ve/veya iş sürekliliğimiz üzerindeki potansiyel etkiyi anlamak için ek araştırma gerçekleştirildi. […]””Araştırmamız, bu maruz kalma sonucunda müşteriler için herhangi bir risk olmadığı sonucuna vardı.”
Olaya yanıt olarak Microsoft, riskleri en aza indirmek için SAS belirteçlerini yönetmeye yönelik en iyi uygulamaları önerdi; bunlar arasında URL’lerin temel kaynaklarla sınırlandırılması, izinlerin gereken minimum düzeyde sınırlandırılması ve SAS URL’leri için daha kısa son kullanma süreleri ayarlanması yer alıyor.
Bu olay, Microsoft gibi büyük kuruluşlarda bile sağlam güvenlik önlemlerinin ve erişim kontrollerinin doğru şekilde yapılandırılmasının önemini vurgulamaktadır. Hassas verilerin korunmasında devam eden zorlukların ve güvenlik uygulamalarında sürekli iyileştirme ihtiyacının hatırlatıcısı olarak hizmet eder. Microsoft, gelecekte benzer sorunları proaktif bir şekilde belirlemek ve çözmek için algılama ve tarama araçlarını geliştireceğinin sözünü verdi.
Dosyalandı
. Microsoft ve Gizlilik hakkında daha fazlasını okuyun.