Microsoft AI bölümü araştırmacıları, GitHub’da açık kaynaklı AI eğitim materyali güncellemeleri yayınlarken yanlışlıkla şirketin 38 TB özel verisini sızdırdı.
Temmuz 2020’den bu yana yaşanan sızıntı, bulut güvenlik firması Wiz’deki araştırmacılar tarafından üç yıl sonra keşfedildi.
Microsoft AI Ekibi Yanlışlıkla 38 TB Şirket Verisini Açığa Çıkardı
Wiz’e göre açığa çıkan veriler arasında iki çalışanın iş istasyonunun disk yedeği de vardı. Disk yedeği, kurumsal sırları, özel anahtarları, parolaları ve 359 Microsoft çalışanından gelen 30.000’den fazla dahili Microsoft Teams mesajını içeriyordu.
Wiz’deki araştırmacılar, yanlış yapılandırılmış depolama kapları için devam eden internet taramaları sırasında bu sorunla karşılaştılar.
“Microsoft organizasyonunun altında bir GitHub deposu bulduk. sağlam-modeller-transferi. Depo, Microsoft’un yapay zeka araştırma bölümüne ait ve amacı, görüntü tanıma için açık kaynak kod ve yapay zeka modelleri sağlamak.” açıkladı bir blog yazısında.
GitHub deposunun okuyucularına, modelleri bir Azure Depolama URL’sinden indirmeleri talimatı verildi. Microsoft, dosyaları paylaşırken, Azure Depolama hesaplarından paylaşılan dosyalar üzerinde tam kontrole olanak tanıyan, Paylaşılan Erişim İmzası (SAS) belirteçleri adı verilen bir Azure özelliğini kullandı.
Erişim düzeyi yalnızca belirli dosyalarla sınırlandırılabilse de yapay zeka bölümü araştırmacıları, başka bir 38 TB özel dosya da dahil olmak üzere tüm depolama hesabını paylaşacak şekilde yapılandırılmış bir bağlantıyı yanlışlıkla paylaştı ve bu da veri sızıntısına yol açtı.
Aşırı derecede izin veren erişim kapsamının yanı sıra, jeton ayrıca salt okunurluk yerine “tam kontrol” izinlerine izin verecek şekilde yanlış yapılandırıldı. Bu, bir saldırganın yalnızca depolama hesabındaki tüm dosyaları görüntüleyemeyeceği, aynı zamanda mevcut dosyaları silip üzerine yazabileceği anlamına da geliyordu.
Wiz, olayı 22 Haziran 2023’te Microsoft Güvenlik Yanıt Merkezi’ne (MSRC) bildirdi ve bu durum, Azure depolama hesabına tüm harici erişimi engellemek için 24 Haziran 2023’te SAS belirtecini geçersiz kıldı.
Microsoft, olası kurumsal etkiye ilişkin araştırmasını 16 Ağustos 2023’te tamamladı ve olayı 18 Eylül 2023 Pazartesi günü kamuya duyurdu.
Bir danışma belgesinde yayınlanan Pazartesi günü MSRC ekibi şunları söyledi: “Bu sorun nedeniyle hiçbir müşteri verisi açığa çıkmadı ve başka hiçbir dahili hizmet riske atılmadı. Bunun temel nedeni düzeltildi ve sistemin artık tüm aşırı provizyonlu SAS belirteçlerini tespit ettiği ve bunları düzgün bir şekilde raporladığı doğrulandı.
Şunu ekledi: “Bu soruna yanıt vermek için herhangi bir müşteri işlemi yapılmasına gerek yoktur. Araştırmamız, bu maruz kalma sonucunda müşteriler için herhangi bir risk olmadığı sonucuna vardı.”
