Bộ phận nghiên cứu AI của Microsoft đã vô tình làm rò rỉ hàng chục terabyte dữ liệu nhạy cảm từ tháng 7 năm 2020 trong khi đang đóng góp các mô hình học tập AI nguồn mở cho kho lưu trữ GitHub công khai.
Gần ba năm sau, các nhà nghiên cứu của công ty bảo mật cloud Wiz đã phát hiện điều này, cho biết rằng một nhân viên của Microsoft đã vô tình chia sẻ URL của kho lưu trữ Azure Blob bị cấu hình sai, chứa thông tin bị rò rỉ.
Microsoft đã liên kết việc bị lộ dữ liệu với việc sử dụng token Shared Access Signature (SAS) quá mức cho phép, cho phép toàn quyền kiểm soát các tệp được chia sẻ. Các nhà nghiên cứu của Wiz nhận xét rằng tính năng Azure này cho phép chia sẻ dữ liệu một cách khó giám sát và thu hồi.
Khi được sử dụng đúng cách, token SAS sẽ cung cấp một phương tiện an toàn để cấp quyền truy cập được ủy quyền vào các tài nguyên trong tài khoản lưu trữ của bạn.
Điều này bao gồm kiểm soát chính xác quyền truy cập dữ liệu của khách hàng, chỉ định các tài nguyên mà họ có thể sử dụng, xác định các quyền của họ đối với các tài nguyên này và xác định thời hạn hiệu lực của token.
"Do thiếu giám sát và quản trị, token SAS gây ra rủi ro bảo mật và việc sử dụng chúng phải hạn chế nhất có thể. Những token này rất khó theo dõi vì Microsoft không cung cấp cách để quản lý tập trung nó trong Azure portal," Wiz cho biết.
"Ngoài ra, các token này có thể được cấu hình để có hiệu lực mãi mãi mà không giới hạn thời gian hết hạn. Do đó, việc sử dụng token SAS để chia sẻ ra bên ngoài là không an toàn và nên tránh."
38TB dữ liệu nhạy cảm bị lộ
Nhóm nghiên cứu Wiz nhận thấy rằng bên cạnh các mô hình nguồn mở, tài khoản lưu trữ nội bộ cũng vô tình cho phép truy cập vào 38TB dữ liệu nhạy cảm khác.
Dữ liệu bị lộ bao gồm các bản sao lưu thông tin cá nhân của nhân viên Microsoft, có chứa mật khẩu cho các dịch vụ của Microsoft, khóa bí mật và kho lưu trữ hơn 30.000 tin nhắn Microsoft Teams nội bộ có nguồn gốc từ 359 nhân viên Microsoft.
Trong tư vấn vảo mật được đưa ra hôm thứ Hai của Trung tâm ứng cứu bảo mật của Microsoft (MSRC), công ty cho biết rằng không có dữ liệu khách hàng nào bị lộ và không có dịch vụ nội bộ nào khác gặp nguy hiểm do sự cố này.
Wiz đã báo cáo sự việc với MSRC vào ngày 22 tháng 6 năm 2023, MSRC đã thu hồi mã token SAS để chặn tất cả quyền truy cập bên ngoài vào tài khoản lưu trữ Azure, giúp giảm thiểu sự cố vào ngày 24 tháng 6 năm 2023.
Trước đây, vào tháng 9 năm 2022, công ty tình báo về mối đe dọa SOCRadar cũng đã phát hiện một kho lưu trữ Azure Blob khác bị cấu hình sai của Microsoft, chứa dữ liệu nhạy cảm được lưu trữ trong các tệp từ năm 2017 đến tháng 8 năm 2022 và được liên kết với hơn 65.000 đối tượng từ 111 quốc gia.
Nguồn: bleepingcomputer.com.
Tín nhiệm mạng | Nhóm tấn công APT36, hay còn gọi là 'Transparent Tribe', được phát hiện đã sử dụng ít nhất ba ứng dụng Android bắt chước YouTube để lây nhiễm trojan truy cập từ xa (RAT) vào các thiết bị.
Tín nhiệm mạng | Ủy ban bảo vệ dữ liệu Ireland đã phạt TikTok 345 triệu euro vì vi phạm Quy định bảo vệ dữ liệu chung của Liên minh châu Âu liên quan đến việc xử lý dữ liệu trẻ em.
Tín nhiệm mạng | Mozilla đã phát hành các bản cập nhật bảo mật khẩn cấp để khắc phục lỗ hổng zero-day nghiêm trọng đã bị khai thác trong thực tế, ảnh hưởng đến trình duyệt web Firefox và ứng dụng email Thunderbird
Tín nhiệm mạng | Microsoft đã phát hành bản cập nhật bảo mật hàng tháng Patch Tuesday của tháng này để giải quyết 59 lỗ hổng, trong đó có hai lỗ hổng zero-day đã bị khai thác trong thực tế.
Tín nhiệm mạng | Một lỗ hổng mới được tiết lộ trong GitHub có thể khiến hàng nghìn kho lưu trữ có nguy cơ bị tấn công repojacking.
Tín nhiệm mạng | Google đã phát hành các bản vá bảo mật khẩn cấp để giải quyết một lỗ hổng bảo mật nghiêm trọng trong trình duyệt web Chrome mà hãng cho biết đã bị khai thác trong thực tế.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
