Microsoft の研究者が誤って 38TB の機密情報を同社の GitHub ページに漏洩し、誰でも閲覧できる可能性があったことが明らかになりました。データの山の中には、元従業員 2 台のワークステーションのバックアップがあり、キー、パスワード、秘密情報、および 30,000 件を超えるプライベート Teams メッセージが含まれていました。
クラウドセキュリティ会社Wiz によると、漏洩はMicrosoftの人工知能(AI)GitHubリポジトリで公開され、オープンソースのトレーニングデータの一部に誤って含まれていたという。つまり、訪問者にダウンロードするよう勧められ、何度も悪者の手に渡ってしまう可能性がありました。
データ侵害は あらゆる種類のソースから発生する可能性がありますが、マイクロソフトにとって、これが自社の AI 研究者から発生したものであることは特に恥ずかしいことになるでしょう。 Wiz レポートによると、Microsoft は、ユーザーが Azure Storage アカウントを通じてデータを共有できるようにする Azure の機能である Shared Access Signature (SAS) トークンを使用してデータをアップロードしたと述べています。
リポジトリへの訪問者は、提供された URL からトレーニング データをダウンロードするように指示されました。ただし、Web アドレスにより、計画されたトレーニング データ以外にもアクセスが許可され、ユーザーは一般公開が意図されていないファイルやフォルダーを参照できるようになりました。
フルコントロール
ひどくなる。 Wiz の報告によると、これらすべてを許可するアクセス トークンは、より制限の厳しい読み取り専用アクセス許可ではなく、フル コントロール アクセス許可を提供するように誤って構成されていました。実際には、その URL にアクセスした人は誰でも、見つけたファイルを単に表示するだけでなく、削除したり上書きしたりできることを意味します。
ウィズ氏は、これが悲惨な結果をもたらした可能性があると説明しています。リポジトリには AI トレーニング データ が満載されていたため、ユーザーがそれをダウンロードしてスクリプトに入力し、それによって独自の AI モデルを改善することが目的でした。
しかし、不適切に構成されたアクセス許可のおかげで操作が可能であったため、「攻撃者がこのストレージ アカウント内のすべての AI モデルに 悪意のあるコードを挿入した 可能性があり、Microsoft の GitHub リポジトリを信頼しているすべてのユーザーがそのコードに感染していたでしょう」と Wiz 氏は言います。と説明します。
潜在的な災害
このレポートでは、このような Azure Storage フォルダーへのアクセスを許可する SAS トークンの作成では、いかなる種類の紙の証跡も作成されず、これは「管理者がこのトークンが存在し、どこで流通しているかを知る方法がない」ことにも言及しました。 」今回のようにトークンにフルアクセス権限がある場合、悲惨な結果になる可能性があります。
幸いなことに、Wiz は 2023 年 6 月にこの問題を Microsoft に報告したと説明しています。漏洩した SAS トークンは 7 月に置き換えられ、Microsoft は 8 月に内部調査を完了しました。セキュリティ上の欠陥は、完全に修正する時間を確保するために一般に報告されたばかりです。
これは、一見無害に見える行為でもデータ侵害につながる可能性があることを思い出させます。幸いなことに、この問題はパッチされていますが、削除される前にハッカーが機密ユーザーデータにアクセスしたかどうかは不明です。