Ang AI research division ng Microsoft ay susuriin pagkatapos ng hindi sinasadyang paglantad ng nakakagulat na 38 terabytes ng sensitibong data ng pagsasanay sa AI. Iniulat ng Techcrunch na ang data, na sinadya upang maging bahagi ng open-source na data ng pagsasanay sa GitHub, ay kasama ang nilalayong mga modelo ng AI at personal na pag-backup ng computer ng mga empleyado ng Microsoft, mga password sa iba’t ibang serbisyo ng Microsoft, mga lihim na susi, at isang malawak na archive ng panloob. Mga mensahe ng Microsoft Teams.
Ang pangunahing dahilan ng napakalaking pagkakalantad na ito ay nasubaybayan pabalik sa paggamit ng”SAS token”ng Azure, na na-configure upang magbigay ng”ganap na kontrol”sa buong storage account, sa halip na ang nilalayong “read-only”na access.
Maling na-configure na SAS Token
Shared Access Signature (SAS) token ay isang feature ng Azure Cloud ng Microsoft na nagpapahintulot sa mga user na lumikha ng mga link na nagbibigay ng access sa data ng isang Azure Storage account. Gayunpaman, kapag mali ang pagkaka-configure, ang mga token na ito ay maaaring magdulot ng malaking panganib sa seguridad. Ang mga developer ng Microsoft AI, sa kasong ito, ay nagsama ng isang sobrang pinahintulutang token ng SAS sa URL, na humantong sa hindi sinasadyang pagkakalantad. Ang Cloud security firm Wiz, na natuklasan ang maling configuration, ay nagbigay-diin sa mga hamon sa pagsubaybay at pagpapawalang-bisa sa mga naturang token. Itinampok nila na dahil sa kakulangan ng sentralisadong pamamahala sa loob ng portal ng Azure, ang mga token na ito ay mahirap subaybayan. Higit pa rito, maaaring itakda ang mga ito na tatagal nang walang hanggan, na ginagawang potensyal na panganib sa seguridad ang paggamit ng mga ito para sa panlabas na pagbabahagi.
Pagkatapos at Tugon ng Microsoft
Nang matuklasan ang pangangasiwa, agad na iniulat ni Wiz ang isyu sa Microsoft noong Hunyo 2023. Mabilis na kumilos ang Microsoft, pagpapawalang-bisa sa SAS token sa loob ng dalawang araw, sa gayon ay hinaharangan ang panlabas na access sa Azure storage account. Kasunod ng panloob na pagsisiyasat, kinumpirma ng Microsoft na walang data ng customer ang nakompromiso, at walang ibang internal na serbisyo ang nalagay sa alanganin dahil sa insidente. Bilang isang preventive measure, pinalawak ng Microsoft ang lihim na serbisyo sa pag-scan ng GitHub upang subaybayan ang mga pampublikong pagbabago sa open-source code para sa potensyal na pagkakalantad ng mga kredensyal at iba pang mga lihim, lalo na ang mga nauugnay sa mga token ng SAS.
