Microsoft dijo el lunes que tomó medidas para corregir un flagrante error de seguridad que llevó a la exposición de 38 terabytes de datos privados.
La filtración se descubrió en el repositorio de IA GitHub de la compañía y se dice que se hizo pública sin darse cuenta al publicar un conjunto de datos de entrenamiento de código abierto, dijo Wiz. También incluía una copia de seguridad en disco de las estaciones de trabajo de dos ex empleados que contenían secretos, claves, contraseñas y más de 30.000 mensajes internos de Teams.
El repositorio, llamado «transferencia-de-modelos-robustos,» ya no es accesible. Antes de su eliminación, presentaba código fuente y modelos de aprendizaje automático pertenecientes a un Trabajo de investigación de 2020. noble «¿Se transfieren mejor los modelos ImageNet adversamente robustos?»
«La exposición se produjo como resultado de una actitud demasiado permisiva ficha SAS – una característica de Azure que permite a los usuarios compartir datos de una manera que es difícil de rastrear y de revocar», Wiz dicho en un informe. El problema se informó a Microsoft el 22 de junio de 2023.
Específicamente, el archivo README.md del repositorio indicaba a los desarrolladores que descargaran los modelos desde una URL de Azure Storage que accidentalmente también otorgaba acceso a toda la cuenta de almacenamiento, exponiendo así datos privados adicionales.
«Además del alcance de acceso excesivamente permisivo, el token también estaba mal configurado para permitir permisos de» control total «en lugar de solo lectura», dijeron los investigadores de Wiz Hillai Ben-Sasson y Ronny Greenberg. «Es decir, un atacante no sólo podría ver todos los archivos en la cuenta de almacenamiento, sino que también podría eliminar y sobrescribir los archivos existentes».
En respuesta a los hallazgos, Microsoft dicho su investigación no encontró evidencia de exposición no autorizada de datos de clientes y que «ningún otro servicio interno se puso en riesgo debido a este problema». También enfatizó que los clientes no necesitan realizar ninguna acción por su parte.
Los fabricantes de Windows señalaron además que revocaron el token SAS y bloquearon todo acceso externo a la cuenta de almacenamiento. El problema se resolvió dos después de una divulgación responsable.
Para mitigar dichos riesgos en el futuro, la compañía ha ampliado su servicio de escaneo secreto para incluir cualquier token SAS que pueda tener vencimientos o privilegios demasiado permisivos. Dijo que también identificó un error en su sistema de escaneo que marcó la URL SAS específica en el repositorio como un falso positivo.
«Debido a la falta de seguridad y gobernanza de los tokens Account SAS, deben considerarse tan sensibles como la propia clave de la cuenta», dijeron los investigadores. «Por lo tanto, se recomienda encarecidamente evitar el uso de Account SAS para compartir externamente. Los errores en la creación de tokens pueden pasar desapercibidos fácilmente y exponer datos confidenciales».
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Esta no es la primera vez que salen a la luz cuentas de almacenamiento de Azure mal configuradas. En julio de 2022, JUMPSEC Labs resaltado un escenario en el que un actor de amenazas podría aprovechar dichas cuentas para obtener acceso a un entorno empresarial local.
El desarrollo es el último error de seguridad en Microsoft y se produce casi dos semanas después de que la compañía revelara que piratas informáticos con sede en China pudieron infiltrarse en los sistemas de la compañía y robar una clave de firma altamente sensible al comprometer la cuenta corporativa de un ingeniero y probablemente acceder a un volcado de seguridad de el sistema de firma del consumidor.
«La IA abre un enorme potencial para las empresas de tecnología. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran para llevar a producción nuevas soluciones de IA, las enormes cantidades de datos que manejan requieren controles y salvaguardias de seguridad adicionales», dijo en Wiz CTO y cofundador, Ami Luttwak. una declaración.
«Esta tecnología emergente requiere grandes conjuntos de datos para entrenar. Dado que muchos equipos de desarrollo necesitan manipular cantidades masivas de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar. «