Microsoft acaba de publicar accidentalmente 38TB de datos privados | ENBLE

Microsoft accidentally publishes 38TB of private data | ENBLE

Se acaba de revelar que los investigadores de Microsoft filtraron accidentalmente 38 TB de información confidencial en la página de GitHub de la compañía, donde potencialmente cualquiera podría verla. Entre el tesoro de datos se encontraba una copia de seguridad de las estaciones de trabajo de dos antiguos empleados, que contenían claves, contraseñas, secretos y más de 30.000 mensajes privados de Teams.

Según la empresa de seguridad en la nube Wiz, la filtración se publicó en el repositorio de inteligencia artificial (IA) de GitHub de Microsoft y se incluyó accidentalmente en un conjunto de datos de entrenamiento de código abierto. Esto significa que se animó a los visitantes a descargarlo, lo que implicaba que podría haber caído en manos equivocadas una y otra vez.

Stock Depot / Getty Images

Las filtraciones de datos pueden provenir de todo tipo de fuentes, pero será particularmente embarazoso para Microsoft que esta haya sido originada por sus propios investigadores de IA. El informe de Wiz afirma que Microsoft cargó los datos utilizando tokens de firma de acceso compartido (SAS), una característica de Azure que permite a los usuarios compartir datos a través de cuentas de almacenamiento de Azure.

Se indicó a los visitantes del repositorio que descargaran los datos de entrenamiento desde una URL proporcionada. Sin embargo, la dirección web concedía acceso a mucho más que solo los datos de entrenamiento planeados y permitía a los usuarios explorar archivos y carpetas que no estaban destinados a ser accesibles públicamente.

Control total

Sora Shimazaki / Pexels

La situación empeora. El token de acceso que permitía todo esto estaba mal configurado para proporcionar permisos de control total, según informó Wiz, en lugar de permisos de solo lectura más restrictivos. En la práctica, esto significaba que cualquier persona que visitara la URL podía eliminar y sobrescribir los archivos que encontrara, no solo verlos.

Wiz explica que esto podría haber tenido consecuencias desastrosas. Como el repositorio estaba lleno de datos de entrenamiento de IA, la intención era que los usuarios lo descargaran y lo introdujeran en un script, mejorando así sus propios modelos de IA.

Sin embargo, debido a su mal configuración de permisos, “un atacante podría haber inyectado código malicioso en todos los modelos de IA de esta cuenta de almacenamiento, y todos los usuarios que confían en el repositorio de GitHub de Microsoft habrían sido infectados por él”, explica Wiz.

Potencial desastre

ENBLE

El informe también señala que la creación de tokens SAS, que otorgan acceso a carpetas de almacenamiento de Azure como esta, no genera ningún tipo de rastro, lo que significa que “no hay forma de que un administrador sepa que este token existe y dónde circula”. Cuando un token tiene permisos de acceso total como el que tenía este, los resultados pueden ser potencialmente desastrosos.

Afortunadamente, Wiz explica que informó del problema a Microsoft en junio de 2023. El token SAS que filtraba fue reemplazado en julio y Microsoft completó su investigación interna en agosto. La brecha de seguridad se ha informado recientemente al público para permitir que se solucione por completo.

Es un recordatorio de que incluso acciones aparentemente inocentes pueden provocar filtraciones de datos. Afortunadamente, el problema se ha solucionado, pero se desconoce si los hackers tuvieron acceso a alguno de los datos sensibles de los usuarios antes de que se eliminaran.