www.biznesinfo.pl Tech.BiznesINFO.pl
Tech.BiznesINFO.pl > Cyberbezpieczeństwo > Ujawniono wyciek w Microsofcie. Palce maczał w tym jeden z pracowników
Paula Drechsler
Paula Drechsler 19.09.2023 13:35

Ujawniono wyciek w Microsofcie. Palce maczał w tym jeden z pracowników

programista
domena publiczna

Badacze bezpieczeństwa z firmy Wiz donoszą o znacznym wycieku w jednej z największych firm w branży nowoczesnych technologii. W wyniku incydentu ujawniono mnóstwo poufnych danych. Są wśród nich klucze, hasła i dziesiątki tysięcy prywatnych wiadomości. Wyciek miał spowodować jeden z pracowników.

Raport o stanie zabezpieczeń

W raporcie opublikowanym przez badaczy Wiz, Hillai Ben-Sasson i Ronny Greenberg szczegółowo opisali, co się stało. Specjaliści prowadzili testy i podczas skanowania w poszukiwaniu źle skonfigurowanych kontenerów na GitHubie natknęli się na repozytorium należące do zespołu badawczego Microsoft AI. Grupa udostępnia tam kod open source i modele uczenia maszynowego do rozpoznawania obrazów.

- To repozytorium miało adres URL ze zbyt zezwalającym na ingerencję tokenem sygnatury dostępu współdzielonego (SAS) dla wewnętrznego konta usługi Azure Storage. Należy ono do firmy Microsoft i zawiera prywatne dane - wyjaśnia theregister.com na podstawie raportu Wiz.

Sygnatura dostępu współdzielonego (SAS) ma według Microsoftu zapewniać bezpieczny dostęp do zasobów na koncie magazynu. Dzięki SAS-owi właściciel ma posiadać pełną kontrolę nad tym, w jaki sposób klient może uzyskać dojście do danych. Użytkownik może dostosować poziom dostępu, od tylko do odczytu do pełnej kontroli. W przypadku omawianym przez badaczy z Wiz token SAS został błędnie skonfigurowany przez jednego z pracowników, ponieważ ustawił w nim uprawnienia pełnej kontroli.

To dało zespołowi Wiz – i potencjalnie osobom o bardziej nikczemnych zamiarach, niż testy bezpieczeństwa – możliwość przeglądania wszystkiego na koncie magazynu, a ponadto każda taka osoba mogła usunąć lub zmienić istniejące pliki, wyjaśnia theregister.com.

Korzystasz z takich aplikacji? Lepiej je usuń, generują spore problemy Największa chińska inwestycja w Polsce. Mowa o kwocie na poziomie 6 miliardów złotych

Terabajty poufnych danych dostępne dla każdego

Co w związku z tym? Otóż badacze z Wiz zaalarmowali Microsoft o wydarzeniu i przestrzegli przed “nieszczelnym” kontem magazynu. Taki stan rzeczy był “zasługą” jednego z pracowników, który przypadkiem ujawnił gigantyczną ilość danych wrażliwych przez ustawienie złych uprawnień.

- Nasz skan pokazuje, że to konto zawierało też 38 TB danych poufnych, w tym kopie zapasowe komputerów osobistych pracowników Microsoft – powiedzieli Ben-Sasson i Greenberg. - Kopie zapasowe zawierały wrażliwe dane osobowe, w tym hasła do usług Microsoft, tajne klucze i ponad 30 tys. wewnętrznych wiadomości Microsoft Teams od 359 pracowników Microsoft.

Microsoft ze swojej strony twierdzi jednak, że kopie zapasowe komputerów osobistych należały do ​​dwóch byłych już pracowników. 

Ponadto, jak twierdzi serwis theregister.com, Microsoft zbagatelizował ten błąd i stwierdził, że chodzi teraz jedynie o „podzielenie się wnioskami”, aby pomóc klientom uniknąć popełniania podobnych błędów

- Z powodu tego problemu nie zostały ujawnione żadne dane klientów ani żadne inne usługi wewnętrzne nie były zagrożone. W odpowiedzi na ten problem nie są wymagane żadne działania ze strony klienta - stwierdził zespół Microsoft Security Response Center. 

Jest reakcja Microsoftu

Po otrzymaniu powiadomienia o zagrożeniu firma z Redmond poinformowała, że unieważniła wspomniany przez Wiz token SAS, aby uniemożliwić zewnętrzny dostęp do konta magazynu i załatała wyciek.

W raporcie przygotowanym przez Microsoft Security Response Center jako odpowiedź na zgłoszenie badaczy z Wiz, można przeczytać również, że przeprowadzone zostało dodatkowe dochodzenie, aby zrozumieć, czy istnieje jakiś potencjalny wpływ wycieku na klientów lub działanie usług Microsoftu. Według ekspertów z Redmond dochodzenie wykazało, że przypadkowy wyciek spowodowany przez jednego z pracowników nie miał wpływu na zagrożenie dla klientów.

Jak podaje theregister.com, gigant z Redmond obiecuje również poprawić inne swoje działania.

- Microsoft stale ulepsza zestaw narzędzi do wykrywania i skanowania, aby proaktywnie identyfikować takie przypadki nadmiernie udostępnianych adresów URL SAS i wzmacniać naszą standardową bezpieczną postawę.

Jak jednak podkreśla wspomniany serwis, to niestety nie jest jedyny problem Microsoftu z uwierzytelnianiem opartym na kluczach. Zaledwie w lipcu br. chińscy szpiedzy ukradli tajny klucz Microsoftu i włamywali się na konta e-mail rządu USA, przypomina źródło. 

Tagi: Microsoft Cyberbezpieczeństwo
Powiązane
Cyberprzestępcy
Klienci sex shopów zagrożeni. Państwowy instytut ostrzega: wyciekły dane, dochodzi do ataków
Starliner
Astronauci uwięzieni w kosmosie. Powrót ich kapsuły NASA pokaże na żywo
PKO BP
Pilne: Trwa atak. Klienci polskiego banku zagrożeni: są oficjalne wytyczne
EagleEye
Największy polski satelita ma poważne problemy. ”Misja EagleEye jest w trudnej sytuacji”
Cyberprzestępcy
Pilne ostrzeżenie dla Polaków. Możesz stracić dostęp do e-maila i Facebooka
spotify
Atak na Spotify. Są oficjalne zalecenia, natychmiast sprawdź swoje konto
Ta firma jest warta fortunę. Wygrywa w rankingu najcenniejszych marek świata. Co ma na to wpływ?
dolary
dolary Pixabay/pasja1000
Spośród wszystkich wysoko wycenianych firm, jedna zdecydowanie góruje. Kapitalizacja lidera w rankingu najcenniejszych marek świata przekroczyła jakiś czas temu 3 biliony dolarów. Co na to wpłynęło?
Czytaj dalej
Obserwuj nas
Nasze serwisy
Iberion.com
biznesinfo.pl
rolnikinfo.pl
turysci.pl
lelum.pl
lifestyle.lelum.pl
pacjenci.pl
swiatzwierzat.pl
swiatgwiazd.pl
kobieta.swiatgwiazd.pl
domekiogrodek.pl
smakosze.pl
goniec.pl
rozrywka.goniec.pl
sport.goniec.pl
portalparentingowy.pl
wiadomosci.goniec.pl
tech.biznesinfo.pl
telewizja.swiatgwiazd.pl
silver.lelum.pl
Przydatne linki
Archiwum
Autorzy artykułów
Kontakt
Mapa serwisu
Reklama w Tech.BiznesINFO.pl
Obserwuj nas
Copyright © 2024 IBERION Sp. z o.o., NIP 9512398358 • Iberion. Wiarygodne dziennikarstwo. Z największym zasięgiem w social mediach. Polityka prywatności Kontakt Regulamin