Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników
Wycieki danych są czymś powszechnym w dzisiejszych czasach. Stanowią często bardzo dobre źródło zarobku dla hakerów, którzy je pozyskują. Czasami jednak dochodzi do nich na skutek niefrasobliwości samych użytkowników. Z taką sytuacją mamy do czynienia w przypadku najnowszego wycieku danych służbowych pracowników Microsoftu, którzy odpowiadają za dział sztucznej inteligencji. W wyniku błędu ludzkiego były one dostępne w sieci przez bardzo długi czas.
Na skutek błędnie przydzielonych uprawnień za pośrednictwem tokena SAS, można było uzyskać dostęp do 38 TB firmowych danych dwóch pracowników Microsoftu odpowiedzialnych za dział sztucznej inteligencji.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [1]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_1_b.jpg)
Bethesda Softworks - wiemy, nad jakimi tytułami pracuje obecnie studio podległe Microsoftowi. Wśród produkcji Dishonored 3
Opisywany przypadek został odkryty przez firmę Wiz, która zajmuje się bezpieczeństwem rozwiązań chmurowych. Za sprawą linku w repozytorium na GitHubie, które należy do działu Microsoftu zajmującego się rozwojem sztucznej inteligencji, możliwe było uzyskanie dostępu do całego magazynu danych. W ręce niepowołanych użytkowników mogły trafić kopie zapasowe nośników danych wykorzystywanych przez dwóch pracowników Microsoftu, hasła do usług firmy, klucze cyfrowe i ponad 30 tys. wewnętrznych wiadomości z komunikatora Teams wysyłanych przez 359 pracowników. Łącznie dostępne było 38 TB danych.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [2]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_0_b.jpg)
Microsoft Build 2023 - zaprezentowano nowości zmierzające do systemu Windows 11. Windows Copilot ma przynieść rewolucję
Co istotne, prawa w dostępie do plików były całkowite. Możliwe było zatem nie tylko przeglądanie treści przez niepowołane osoby, ale także modyfikowanie ich (w tym nadpisywanie i usuwanie plików). Błąd polegał na nadaniu zbyt szerokich uprawnień za pośrednictwem tokena SAS w ramach platformy Azure. Był to zatem czysty błąd ludzki, a nie luka w usługach Microsoftu. Niepokojące jest to, że dostęp do plików możliwy był od 2020 roku. Amerykańska firma w oficjalnym komunikacie zapewnia, że nie doszło do żadnego wycieku danych klientów i nie są konieczne żadne działania z tym związane. Jednocześnie Microsoft wdraża już odpowiednie mechanizmy, które mają zapobiegać podobnym sytuacjom w przyszłości.
Powiązane publikacje
Wikimedia Foundation reaguje na krytykę. Generowane podsumowania AI wstrzymane po dwóch tygodniach testów
17
Zdjęcia na Instagramie nie tylko w dwóch formatach. Popularna platforma oferuje już wsparcie dla mobilnych proporcji
6
Meta kontra FTC. Kevin Systrom ujawnia, że Mark Zuckerberg postrzegał Instagram jako zagrożenie dla Facebooka
23
OpenAI rozważa zakup przeglądarki Chrome od Google, co oznacza potencjalną rewolucję w dostępie do sztucznej inteligencji
22
