Microsoft Hassas Verileri Açığa Çıkardı

Microsoft AI araştırmacıları, GitHub'da açık kaynaklı eğitim verilerinin yer aldığı bir depolama paketi yayınlarken, özel anahtarlar ve parolalar da dahil olmak üzere onlarca terabaytlık hassas veriyi yanlışlıkla açığa çıkardı. TechCrunch ile paylaşılan araştırmada bulut güvenliği girişimi Wiz, bulutta barındırılan verilerin kazara açığa çıkmasıyla ilgili devam eden çalışmalarının bir parçası olarak Microsoft'un yapay zeka araştırma bölümüne ait bir GitHub deposu keşfettiğini söyledi. Görüntü tanıma için açık kaynak kodu ve yapay zeka modelleri sağlayan GitHub deposunun okuyucularına, modelleri bir Azure Depolama URL'sinden indirmeleri talimatı verildi. Ancak Wiz, bu URL'nin depolama hesabının tamamına izin verecek şekilde yapılandırıldığını ve yanlışlıkla ek özel verilerin açığa çıktığını tespit etti.

Microsoft yanlışlıkla hassas verileri GitHub aracılığıyla dışa aktardı

Bu veriler, iki Microsoft çalışanının kişisel bilgisayarlarının kişisel yedeklemeleri de dahil olmak üzere 38 terabaytlık hassas bilgileri içeriyordu. Veriler ayrıca Microsoft hizmetlerine ait parolalar, gizli anahtarlar ve yüzlerce Microsoft çalışanından gelen 30.000'den fazla dahili Microsoft Teams mesajı da dahil olmak üzere diğer hassas kişisel verileri de içeriyordu. Wiz'e göre bu verileri 2020'den bu yana açığa çıkaran URL, aynı zamanda salt okunur izinler yerine tam kontrole izin verecek şekilde yanlış yapılandırılmıştı; bu da nereye bakacağını bilen herkesin potansiyel olarak kötü amaçlı yazılımları silebileceği, değiştirebileceği ve enjekte edebileceği anlamına geliyordu. Wiz, depolama hesabının doğrudan açığa çıkmadığını belirtiyor. Bunun yerine, Microsoft AI geliştiricileri, URL'ye aşırı izin veren bir paylaşılan erişim imzası (SAS) belirtecini ekledi. SAS belirteçleri, Azure tarafından kullanılan ve kullanıcıların bir Azure Depolama hesabının verilerine erişim sağlayan paylaşılabilir bağlantılar oluşturmasına olanak tanıyan bir mekanizmadır.