Microsoft vô tình làm lộ 38TB dữ liệu nội bộ, bao gồm cả khóa riêng tư, mật khẩu và 30.000 tin nhắn nội bộ trong Teams.
Vn-Z.vn Ngày 19 tháng 09 năm 2023 ,Một công ty khởi nghiệp trong lĩnh bảo mật đám mây Wiz Research mới đây phát hiện một sự cố rò rỉ dữ liệu trong kho lưu trữ GitHub của Microsoft AI. Sự cố này được gây ra bởi lỗi cấu hình trong mã thông báo SAS (Chữ ký truy cập chia sẻ).
Cụ thể, đội ngũ nghiên cứu AI của Microsoft khi công bố dữ liệu huấn luyện mã nguồn mở trên GitHub, nhưng đồng thời cũng vô tình làm rò rỉ 38TB dữ liệu nội bộ khác, bao gồm việc sao lưu dữ liệu ổ cứng từ các máy tính cá nhân của một số nhân viên Microsoft. Trong các bản sao lưu này, chứa thông tin nhạy cảm, các khóa cá nhân, mật khẩu và hơn 30.000 tin nhắn nội bộ của Microsoft Teams của hàng trăm nhân viên Microsoft.
Kho lưu trữ GitHub bị rò rỉ cung cấp mã nguồn mở và mô hình trí tuệ nhân tạo để nhận dạng hình ảnh. Người truy cập được yêu cầu tải xuống mô hình từ URL lưu trữ trên Azure. Tuy nhiên, Wiz đã phát hiện rằng URL này được cấu hình để cấp quyền truy cập cho toàn bộ tài khoản lưu trữ, dẫn đến việc rò rỉ các dữ liệu cá nhân khác.
Có thông tin cho biết URL liên quan đã rò rỉ dữ liệu từ năm 2020, và URL này đã bị cấu hình sai cho phép "toàn quyền điều khiển" thay vì chỉ có quyền "chỉ đọc". Điều này có nghĩa là bất kỳ ai biết cách truy cập vào URL đó điều có thể xóa, thay thế hoặc chèn nội dung độc hại vào đó.
Wiz cho biết họ đã báo cáo sự cố này cho Microsoft vào ngày 22 tháng 6, và hai ngày sau đó, vào ngày 24 tháng 6, Microsoft đã thông báo thu hồi mã thông báo SAS. Microsoft cho biết họ đã hoàn thành điều tra về các ảnh hưởng cũng như các tác động tiềm năng vào tổ chức vào ngày 16 tháng 8.
Timeline của sự cố này:
Vn-Z.vn team tổng hợp tham khảo Wiz Research
Cụ thể, đội ngũ nghiên cứu AI của Microsoft khi công bố dữ liệu huấn luyện mã nguồn mở trên GitHub, nhưng đồng thời cũng vô tình làm rò rỉ 38TB dữ liệu nội bộ khác, bao gồm việc sao lưu dữ liệu ổ cứng từ các máy tính cá nhân của một số nhân viên Microsoft. Trong các bản sao lưu này, chứa thông tin nhạy cảm, các khóa cá nhân, mật khẩu và hơn 30.000 tin nhắn nội bộ của Microsoft Teams của hàng trăm nhân viên Microsoft.
Kho lưu trữ GitHub bị rò rỉ cung cấp mã nguồn mở và mô hình trí tuệ nhân tạo để nhận dạng hình ảnh. Người truy cập được yêu cầu tải xuống mô hình từ URL lưu trữ trên Azure. Tuy nhiên, Wiz đã phát hiện rằng URL này được cấu hình để cấp quyền truy cập cho toàn bộ tài khoản lưu trữ, dẫn đến việc rò rỉ các dữ liệu cá nhân khác.
Wiz cho biết họ đã báo cáo sự cố này cho Microsoft vào ngày 22 tháng 6, và hai ngày sau đó, vào ngày 24 tháng 6, Microsoft đã thông báo thu hồi mã thông báo SAS. Microsoft cho biết họ đã hoàn thành điều tra về các ảnh hưởng cũng như các tác động tiềm năng vào tổ chức vào ngày 16 tháng 8.
Timeline của sự cố này:
- Ngày 20 tháng 7 năm 2020: Mã thông báo SAS được đệ trình lần đầu lên GitHub, có ngày hết hạn là ngày 5 tháng 10 năm 2021.
- Ngày 6 tháng 10 năm 2021: Ngày hết hạn của mã thông báo SAS được cập nhật thành ngày 6 tháng 10 năm 2051.
- Ngày 22 tháng 6 năm 2023: Wiz Research phát hiện vấn đề và báo cáo cho Microsoft.
- Ngày 24 tháng 6 năm 2023: Microsoft thông báo vô hiệu hóa mã thông báo SAS.
- Ngày 7 tháng 7 năm 2023: Mã thông báo SAS trên GitHub được thay thế.
- Ngày 16 tháng 8 năm 2023: Microsoft hoàn thành cuộc điều tra nội bộ về tác động tiềm năng.
- Ngày 18 tháng 9 năm 2023: Wiz Research tiết lộ công khai vụ việc này.
Vn-Z.vn team tổng hợp tham khảo Wiz Research
