Microsoft a accidentellement divulgué 38 To de données privées lors d’une fuite majeure

19 septembre 2023 Hibou Gourou

Il vient d'être révélé que des chercheurs de Microsoft ont accidentellement divulgué 38 To d'informations confidentielles sur la page GitHub de l'entreprise, où tout le monde pourrait potentiellement les voir. Parmi les données recueillies figurait une sauvegarde des postes de travail de deux anciens employés, qui contenait des clés, des mots de passe, des secrets et plus de 30 000 messages privés Teams.

Selon la société de sécurité cloud Wiz , la fuite a été publiée sur le référentiel GitHub d'intelligence artificielle (IA) de Microsoft et a été accidentellement incluse dans une tranche de données de formation open source. Cela signifie que les visiteurs ont été encouragés à le télécharger, ce qui signifie qu'il aurait pu tomber encore et encore entre de mauvaises mains.

Un grand moniteur affichant un avertissement de violation de sécurité. — Dépôt de stock / Getty Images

Les violations de données peuvent provenir de toutes sortes de sources, mais il sera particulièrement embarrassant pour Microsoft que celle-ci provienne de ses propres chercheurs en IA. Le rapport Wiz indique que Microsoft a téléchargé les données à l'aide de jetons SAS (Shared Access Signature), une fonctionnalité Azure qui permet aux utilisateurs de partager des données via des comptes de stockage Azure.

Les visiteurs du référentiel ont été invités à télécharger les données de formation à partir d'une URL fournie. Cependant, l'adresse Web donnait accès à bien plus que les données de formation prévues et permettait aux utilisateurs de parcourir des fichiers et des dossiers qui n'étaient pas destinés à être accessibles au public.

Controle total

Une personne utilisant un ordinateur portable avec un ensemble de codes affichés à l’écran. — Sora Shimazaki / Pexels

Ça s'empire. Le jeton d'accès qui permettait tout cela a été mal configuré pour fournir des autorisations de contrôle total, a rapporté Wiz, plutôt que des autorisations de lecture seule plus restrictives. En pratique, cela signifiait que toute personne visitant l’URL pouvait supprimer et écraser les fichiers trouvés, et pas seulement les visualiser.

Wiz explique que cela aurait pu avoir des conséquences désastreuses. Comme le référentiel regorgeait de données de formation sur l'IA , l'intention était que les utilisateurs les téléchargent et les introduisent dans un script, améliorant ainsi leurs propres modèles d'IA.

Pourtant, comme il était ouvert à la manipulation grâce à ses autorisations mal configurées, « un attaquant aurait pu injecter du code malveillant dans tous les modèles d'IA de ce compte de stockage, et tous les utilisateurs qui font confiance au référentiel GitHub de Microsoft en auraient été infectés », Wiz. explique.

Catastrophe potentielle

Représentation numérique d'un ordinateur portable piraté par un pirate informatique. — Tendances numériques

Le rapport note également que la création de jetons SAS – qui accordent l'accès aux dossiers Azure Storage tels que celui-ci – ne crée aucune sorte de trace écrite, ce qui signifie « qu'il n'y a aucun moyen pour un administrateur de savoir que ce jeton existe et où il circule ». .» Lorsqu’un jeton dispose d’autorisations d’accès complet comme celui-ci, les résultats peuvent être potentiellement désastreux.

Heureusement, Wiz explique avoir signalé le problème à Microsoft en juin 2023. Le jeton SAS qui fuyait a été remplacé en juillet et Microsoft a terminé son enquête interne en août. La faille de sécurité vient tout juste d’être signalée au public afin de laisser le temps de la corriger complètement.

Cela nous rappelle que même des actions apparemment innocentes peuvent potentiellement conduire à des violations de données. Heureusement, le problème a été corrigé, mais on ne sait pas si les pirates ont eu accès aux données utilisateur sensibles avant leur suppression.