Wyciek prywatnych danych z serwera Microsoftu. Terabajty informacji w publicznej chmurze

Startup Wiz zajmujący się bezpieczeństwem w chmurze odkrył przypadkowo w publicznym repozytorium GitHub należącym do Microsoft 38 terabajtów poufnych informacji firmy. Wśród nich znajdowały się kopie zapasowe pochodzące z dwóch komputerów osobistych pracowników spółki.

Wyciek prywatnych danych z serwera Microsoftu. Terabajty informacji w publicznej chmurze
00:00 00:00

Summary

  • Repozytorium Microsoftu udostępniło modele uczenia maszynowego typu open source, które przez błędną konfigurację odsłoniły terabajty prywatnych danych firmy.
  • Dane zawierały hasła do usług Microsoftu, tajne klucze i ponad 30 tys. wewnętrznych wiadomości z Microsoft Teams od setek pracowników firmy.
  • Wiz, który odkrył błąd, natychmiast powiadomił centrum reagowania Microsoftu, które po kilkumiesięcznym śledztwie stwierdziło, że wyciek był wynikiem pomyłki ludzkiej.
  • Microsoft zapewnił, że żadne dane klientów nie zostały ujawnione i żadne inne usługi wewnętrzne nie były zagrożone.
  • Wyciek nie naraził danych newralgicznych klientów, ale podważył zaufanie klientów do firmy.
  • Microsoft był wcześniej krytykowany za "niską przejrzystość" i "toksyczne zaciemnianie" faktycznego stanu rzeczy w zakresie wewnętrznych standardów z zakresu cyberbezpieczeństwa.
  • Platforma chmurowa Azure, flagowy produkt Microsoftu, jest używana przez około 95% przedsiębiorstw z listy Fortune 500.

Repozytorium Microsoft udostępnia użytkownikom modele uczenia się sztucznej inteligencji typu open source. Instrukcja kierowała użytkowników zainteresowanych pobraniem modeli do adresu URL dla usługi Azure. Wiz odkrył, że przez błędną konfigurację, link Azure udzielał pomyłkowo dostępu do niepublicznych, wewnętrznych zasobów firmy, odsłaniając terabajty prywatnych danych.

Dane zawierały hasła do usług Microsoft, tajne klucze i ponad 30 tys. wewnętrznych wiadomości Microsoft Teams od setek pracowników firmy. Wiz natychmiast po odkryciu powiadomił centrum reagowania Microsoft. Po kilku miesięcznym śledztwie, firma uspokaja klientów w oficjalnym komunikacie, że wyciek to pomyłka ludzka i precedens, który nie powinien mieć miejsca.

- Dane ujawnione na tym koncie magazynu obejmowały kopie zapasowe profili stacji roboczych dwóch byłych pracowników oraz wewnętrzne wiadomości Microsoft Teams tych dwóch pracowników ze współpracownikami. Z powodu tego problemu nie zostały ujawnione żadne dane klientów, a żadne inne usługi wewnętrzne nie były zagrożone - czytamy w komunikacie firmy.

Opanowanie i dyskrecja Microsoft zaskakują. Co prawda usterka nie naraziła danych newralgicznych klientów, ale po raz kolejny wystawia zaufanie klientów na próbę.

Niespełna cztery lata temu z bazy centrum obsługi klienta Microsoftu wyciekły dane osobiste 250 mln użytkowników dostępne w chmurze Azure. Firma krytykowana jest ponadto za „niską przejrzystość” i „toksyczne zaciemnianie” faktycznego stanu rzeczy w zakresie wewnętrznych standardów z zakresu cyberbezpieczeństwa.

Platforma chmurowa Azure to flagowy produkt Microsoft w modelu PaaS (platforma jako usługa), który szczyci się wysokim bezpieczeństwem i ochroną danych. Oficjalne firma podaje, że z zasobów Azure korzysta około 95 proc. przedsiębiorstw z listy Fortune 500.