Selon The Hacker News , Wiz Research - une startup de sécurité cloud - a récemment découvert une fuite de données dans le référentiel GitHub de Microsoft AI, qui aurait été accidentellement exposée lors de la publication d'un groupe de données de formation open source.
Les données divulguées comprennent une sauvegarde des postes de travail de deux anciens employés de Microsoft avec des clés secrètes, des mots de passe et plus de 30 000 messages Teams internes.
Le référentiel nommé « robust-models-transfer » est désormais inaccessible. Avant d'être supprimé, le référentiel contenait du code source et des modèles d'apprentissage automatique liés à un article de recherche de 2020.
Wiz a déclaré que la violation de données s'est produite en raison de la vulnérabilité des jetons SAS, une fonctionnalité d'Azure qui permet aux utilisateurs de partager des données à la fois difficiles à suivre et à révoquer. Le problème a été signalé à Microsoft le 22/06/2023.
En conséquence, le fichier README.md du référentiel demandait aux développeurs de télécharger des modèles à partir d'une URL de stockage Azure, fournissant par inadvertance l'accès à l'ensemble du compte de stockage, exposant ainsi des données privées supplémentaires.
En plus de la portée d'accès excessive, le jeton SAS était également mal configuré, permettant un contrôle total au lieu d'une simple lecture, ont déclaré les chercheurs de Wiz. Si cette faille est exploitée, cela signifie qu'un pirate pourrait non seulement visualiser, mais également supprimer et écraser tous les fichiers du compte de stockage.
En réponse au rapport, Microsoft a déclaré que son enquête n'avait trouvé aucune preuve d'exposition des données clients, et qu'aucun autre service interne n'était en danger en raison de l'incident. Le groupe a souligné que les clients n'avaient aucune mesure à prendre, affirmant avoir révoqué les jetons SAS et bloqué tout accès externe aux comptes de stockage.
Pour atténuer des risques similaires, Microsoft a étendu son analyse des services secrets à tous les jetons SAS susceptibles d’avoir des privilèges limités ou excessifs. La société a également identifié un bug dans le système d'analyse qui signalait les URL SAS dans le référentiel avec des résultats incorrects.
Les chercheurs suggèrent qu’en raison du manque de sécurité et de gouvernance des jetons de compte SAS, la précaution consiste à éviter de les utiliser pour un partage externe. Les erreurs de génération de jetons peuvent être facilement négligées et exposer des données sensibles.
Auparavant, en juillet 2022, JUMPSEC Labs avait révélé une menace qui pourrait exploiter ces comptes pour accéder aux entreprises.
Des fichiers sensibles trouvés lors d'une sauvegarde par Wiz Research
Il s'agit de la dernière faille de sécurité en date chez Microsoft. Il y a deux semaines, l'entreprise révélait que des pirates informatiques venus de Chine s'étaient introduits dans son système et avaient volé des clés hautement sécurisées. Des pirates ont piraté le compte d'un ingénieur de cette société et ont accédé au référentiel de signatures numériques de l'utilisateur.
Le dernier incident montre les risques potentiels liés à l'introduction de l'IA dans de grands systèmes, a déclaré Ami Luttwak, CTO de Wiz CTO, qui a déclaré que l'IA ouvre un énorme potentiel pour les entreprises technologiques. Cependant, alors que les scientifiques et les ingénieurs des données s’efforcent de mettre en œuvre de nouvelles solutions d’IA, les quantités massives de données qu’ils traitent nécessitent des mesures de sécurité et des contrôles supplémentaires.
Alors que de nombreuses équipes de développement doivent travailler avec des quantités massives de données, partager ces données avec leurs pairs ou collaborer sur des projets open source publics, les cas comme celui de Microsoft sont de plus en plus difficiles à suivre et à éviter.
Lien source
Comment (0)