Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników
Wycieki danych są czymś powszechnym w dzisiejszych czasach. Stanowią często bardzo dobre źródło zarobku dla hakerów, którzy je pozyskują. Czasami jednak dochodzi do nich na skutek niefrasobliwości samych użytkowników. Z taką sytuacją mamy do czynienia w przypadku najnowszego wycieku danych służbowych pracowników Microsoftu, którzy odpowiadają za dział sztucznej inteligencji. W wyniku błędu ludzkiego były one dostępne w sieci przez bardzo długi czas.
Na skutek błędnie przydzielonych uprawnień za pośrednictwem tokena SAS, można było uzyskać dostęp do 38 TB firmowych danych dwóch pracowników Microsoftu odpowiedzialnych za dział sztucznej inteligencji.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [1]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_1_b.jpg)
Bethesda Softworks - wiemy, nad jakimi tytułami pracuje obecnie studio podległe Microsoftowi. Wśród produkcji Dishonored 3
Opisywany przypadek został odkryty przez firmę Wiz, która zajmuje się bezpieczeństwem rozwiązań chmurowych. Za sprawą linku w repozytorium na GitHubie, które należy do działu Microsoftu zajmującego się rozwojem sztucznej inteligencji, możliwe było uzyskanie dostępu do całego magazynu danych. W ręce niepowołanych użytkowników mogły trafić kopie zapasowe nośników danych wykorzystywanych przez dwóch pracowników Microsoftu, hasła do usług firmy, klucze cyfrowe i ponad 30 tys. wewnętrznych wiadomości z komunikatora Teams wysyłanych przez 359 pracowników. Łącznie dostępne było 38 TB danych.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [2]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_0_b.jpg)
Microsoft Build 2023 - zaprezentowano nowości zmierzające do systemu Windows 11. Windows Copilot ma przynieść rewolucję
Co istotne, prawa w dostępie do plików były całkowite. Możliwe było zatem nie tylko przeglądanie treści przez niepowołane osoby, ale także modyfikowanie ich (w tym nadpisywanie i usuwanie plików). Błąd polegał na nadaniu zbyt szerokich uprawnień za pośrednictwem tokena SAS w ramach platformy Azure. Był to zatem czysty błąd ludzki, a nie luka w usługach Microsoftu. Niepokojące jest to, że dostęp do plików możliwy był od 2020 roku. Amerykańska firma w oficjalnym komunikacie zapewnia, że nie doszło do żadnego wycieku danych klientów i nie są konieczne żadne działania z tym związane. Jednocześnie Microsoft wdraża już odpowiednie mechanizmy, które mają zapobiegać podobnym sytuacjom w przyszłości.
Powiązane publikacje
Reklamy na YouTube zaatakują nawet po zatrzymaniu wideo. Google nie ma litości dla osób bez subskrypcji YouTube Premium
127
Post News - rywal Twittera (X) niebawem przestanie istnieć. Ambicje konkurencji są wielkie, ale obalenie giganta nie jest łatwe
21
VPN by Google One - kolejna usługa zmierza na firmowy cmentarz. Jednak nie wszyscy utracą do niej dostęp
11
Wyszukiwarka Google - pełna wersja usługi może wkrótce stać się płatna. Firma rozważa opłaty za dodatkowe funkcje AI
41
