Microsoft ha accidentalmente fatto trapelare 38TB di dati interni su GitHub

Microsoft ha accidentalmente fatto trapelare 38TB di dati interni su GitHub

Il colosso di Redmond si trova ad affrontare un momento scioccante in termini di sicurezza, con il suo ultimo obiettivo che ha esposto 30.000 messaggi di team interni.

Ciò avviene dopo che Microsoft ha rivelato la scorsa settimana come gli hacker cinesi hanno ottenuto la chiave di firma dell’account interno, grazie a una serie di problemi causati da un “crash del sistema di firma del consumatore”.

La fuga di notizie su GitHub è stata scoperta dai ricercatori della società di sicurezza cloud Wiz, che scansiona regolarmente Internet alla ricerca di “contenitori di archiviazione non configurati correttamente”. In una scansione regolare, hanno trovato un repository GitHub chiamato strong-models-transfer, che appartiene al gruppo di ricerca sull’intelligenza artificiale (AI) di Microsoft.

In teoria, il repository conteneva “potenti modelli ImageNet pre-addestrati” da scaricare, ma in realtà c’era molto di più.

“…Questo URL fornisce accesso a qualcosa di più che semplici modelli open source”, ha affermato Wiz in un messaggio Post sul blog. “È stato configurato per concedere autorizzazioni sull’intero account di archiviazione, con la conseguente esposizione accidentale di ulteriori dati privati.”

Inoltre, chiunque acceda al repository dispone anche delle autorizzazioni di “controllo completo” invece delle consuete autorizzazioni di sola lettura.

“Ciò significa che un utente malintenzionato non solo può visualizzare tutti i file nell’account di archiviazione, ma anche eliminare e sovrascrivere i file esistenti”, hanno scoperto i ricercatori di Wiz.

Dato il vero scopo del repository – condividere modelli di intelligenza artificiale – “un utente malintenzionato avrebbe potuto iniettare codice dannoso in tutti i modelli di intelligenza artificiale in quell’account di archiviazione e ogni utente che si fidava del repository GitHub di Microsoft avrebbe potuto essere infettato”. .

In teoria, l’intero account avrebbe dovuto rimanere privato, ma l’uso dei token SAS – in particolare i token dell’account SAS – significava che gli utenti potevano effettivamente creare i propri token, lato client. Gli amministratori non sapranno nemmeno che questi token esistono e anche revocarli non è banale.

“Anche la revoca di un token non è un compito facile: richiede la rotazione della chiave dell’account che ha firmato il token, il che rende inattivi anche tutti gli altri token firmati con la stessa chiave”, ha affermato Weisz. “Questi rischi unici rendono questo servizio un facile bersaglio per gli aggressori alla ricerca di dati esposti”.

Wiz ha scoperto per la prima volta il repository nel giugno 2023 e ha segnalato il problema a Microsoft due giorni dopo. Il token SAS, che aveva scadenza ottobre 2051, è stato revocato nel 2021 da Microsoft il 24 giugno e poi sostituito il 7 luglio.

Entro il 16 agosto, Microsoft aveva completato la sua indagine interna e sia Wiz che Microsoft ha rivelato questo problema.

“Il semplice passo di condividere il set di dati dell’intelligenza artificiale ha provocato una massiccia fuga di dati, contenente oltre 38 terabyte di dati privati”, ha concluso Weisz.

“La causa principale è stata l’uso dei token SAS per conto come meccanismo di condivisione. A causa della mancanza di supervisione e governance, i token SAS rappresentano un rischio per la sicurezza e il loro utilizzo dovrebbe essere il più limitato possibile.