Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników
Wycieki danych są czymś powszechnym w dzisiejszych czasach. Stanowią często bardzo dobre źródło zarobku dla hakerów, którzy je pozyskują. Czasami jednak dochodzi do nich na skutek niefrasobliwości samych użytkowników. Z taką sytuacją mamy do czynienia w przypadku najnowszego wycieku danych służbowych pracowników Microsoftu, którzy odpowiadają za dział sztucznej inteligencji. W wyniku błędu ludzkiego były one dostępne w sieci przez bardzo długi czas.
Na skutek błędnie przydzielonych uprawnień za pośrednictwem tokena SAS, można było uzyskać dostęp do 38 TB firmowych danych dwóch pracowników Microsoftu odpowiedzialnych za dział sztucznej inteligencji.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [1]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_1_b.jpg)
Bethesda Softworks - wiemy, nad jakimi tytułami pracuje obecnie studio podległe Microsoftowi. Wśród produkcji Dishonored 3
Opisywany przypadek został odkryty przez firmę Wiz, która zajmuje się bezpieczeństwem rozwiązań chmurowych. Za sprawą linku w repozytorium na GitHubie, które należy do działu Microsoftu zajmującego się rozwojem sztucznej inteligencji, możliwe było uzyskanie dostępu do całego magazynu danych. W ręce niepowołanych użytkowników mogły trafić kopie zapasowe nośników danych wykorzystywanych przez dwóch pracowników Microsoftu, hasła do usług firmy, klucze cyfrowe i ponad 30 tys. wewnętrznych wiadomości z komunikatora Teams wysyłanych przez 359 pracowników. Łącznie dostępne było 38 TB danych.
![Microsoft - za pośrednictwem Internetu można było uzyskać dostęp do dużych ilości niejawnych danych dwóch pracowników [2]](/image/news/2023/09/19_microsoft_za_posrednictwem_internetu_mozna_bylo_uzyskac_dostep_do_duzych_ilosci_niejawnych_danych_dwoch_pracownikow_0_b.jpg)
Microsoft Build 2023 - zaprezentowano nowości zmierzające do systemu Windows 11. Windows Copilot ma przynieść rewolucję
Co istotne, prawa w dostępie do plików były całkowite. Możliwe było zatem nie tylko przeglądanie treści przez niepowołane osoby, ale także modyfikowanie ich (w tym nadpisywanie i usuwanie plików). Błąd polegał na nadaniu zbyt szerokich uprawnień za pośrednictwem tokena SAS w ramach platformy Azure. Był to zatem czysty błąd ludzki, a nie luka w usługach Microsoftu. Niepokojące jest to, że dostęp do plików możliwy był od 2020 roku. Amerykańska firma w oficjalnym komunikacie zapewnia, że nie doszło do żadnego wycieku danych klientów i nie są konieczne żadne działania z tym związane. Jednocześnie Microsoft wdraża już odpowiednie mechanizmy, które mają zapobiegać podobnym sytuacjom w przyszłości.
Powiązane publikacje
YouTube wprowadza AI Super Resolution, czyli automatyczne skalowanie starych filmów do HD i 4K dzięki sztucznej inteligencji
37
Meta przyłapana na pobieraniu filmów dla dorosłych? Odpowiedź giganta zaskoczy was bardziej niż same zarzuty
20
Google AI Overview i Gemini cytują inne domeny niż tradycyjna wyszukiwarka. Naukowcy odkryli ukryte mechanizmy
16
Naprawdę wiesz co Twoje dzieci robią w sieci? Raport NASK o nastolatkach odsłania prawdę, której rodzice nie chcą znać
44
