Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników
Wycieki danych są czymś powszechnym w dzisiejszych czasach. Stanowią często bardzo dobre źródło zarobku dla hakerów, którzy je pozyskują. Czasami jednak dochodzi do nich na skutek niefrasobliwości samych użytkowników. Z taką sytuacją mamy do czynienia w przypadku najnowszego wycieku danych służbowych pracowników Microsoftu, którzy odpowiadają za dział sztucznej inteligencji. W wyniku błędu ludzkiego były one dostępne w sieci przez bardzo długi czas.
Na skutek błędnie przydzielonych uprawnień za pośrednictwem tokena SAS, można było uzyskać dostęp do 38 TB firmowych danych dwóch pracowników Microsoftu odpowiedzialnych za dział sztucznej inteligencji.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [1]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_1_b.jpg)
Bethesda Softworks - wiemy, nad jakimi tytułami pracuje obecnie studio podległe Microsoftowi. Wśród produkcji Dishonored 3
Opisywany przypadek został odkryty przez firmę Wiz, która zajmuje się bezpieczeństwem rozwiązań chmurowych. Za sprawą linku w repozytorium na GitHubie, które należy do działu Microsoftu zajmującego się rozwojem sztucznej inteligencji, możliwe było uzyskanie dostępu do całego magazynu danych. W ręce niepowołanych użytkowników mogły trafić kopie zapasowe nośników danych wykorzystywanych przez dwóch pracowników Microsoftu, hasła do usług firmy, klucze cyfrowe i ponad 30 tys. wewnętrznych wiadomości z komunikatora Teams wysyłanych przez 359 pracowników. Łącznie dostępne było 38 TB danych.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [2]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_0_b.jpg)
Microsoft Build 2023 - zaprezentowano nowości zmierzające do systemu Windows 11. Windows Copilot ma przynieść rewolucję
Co istotne, prawa w dostępie do plików były całkowite. Możliwe było zatem nie tylko przeglądanie treści przez niepowołane osoby, ale także modyfikowanie ich (w tym nadpisywanie i usuwanie plików). Błąd polegał na nadaniu zbyt szerokich uprawnień za pośrednictwem tokena SAS w ramach platformy Azure. Był to zatem czysty błąd ludzki, a nie luka w usługach Microsoftu. Niepokojące jest to, że dostęp do plików możliwy był od 2020 roku. Amerykańska firma w oficjalnym komunikacie zapewnia, że nie doszło do żadnego wycieku danych klientów i nie są konieczne żadne działania z tym związane. Jednocześnie Microsoft wdraża już odpowiednie mechanizmy, które mają zapobiegać podobnym sytuacjom w przyszłości.
Powiązane publikacje
YouTube Premium Lite - nowy plan pozbawia serwis większości reklam, a jest znacznie tańszy od YouTube Premium
83
YouTube to nowa telewizja - twierdzi Google. Prawie 20-letni serwis jest popularniejszy na TV niż na smartfonach
64
Reklamy dotarły na Threads. Chwilowo zobaczą je tylko wybrane osoby, ale z czasem trafią do wszystkich użytkowników
28
Insbuy – nowatorska aplikacja, która otwiera nowe możliwości sprzedażowe dla osób streamujących treści
22
