MICROSOFT BỊ RÒ RỈ 38TB DỮ LIỆU NHẠY CẢM DO THIẾU BẢO MẬT CHO KHO LƯU TRỮ AZURE

2023-09-20

Bộ phận nghiên cứu AI của Microsoft đã vô tình làm rò rỉ hàng chục terabyte dữ liệu nhạy cảm từ tháng 7 năm 2020 trong khi đang đóng góp các mô hình học tập AI nguồn mở cho kho lưu trữ GitHub công khai.

Gần ba năm sau, các nhà nghiên cứu của công ty bảo mật cloud Wiz đã phát hiện điều này, cho biết rằng một nhân viên của Microsoft đã vô tình chia sẻ URL của kho lưu trữ Azure Blob bị cấu hình sai, chứa thông tin bị rò rỉ.

Microsoft đã liên kết việc bị lộ dữ liệu với việc sử dụng token Shared Access Signature (SAS) quá mức cho phép, cho phép toàn quyền kiểm soát các tệp được chia sẻ. Các nhà nghiên cứu của Wiz nhận xét rằng tính năng Azure này cho phép chia sẻ dữ liệu một cách khó giám sát và thu hồi.

Khi được sử dụng đúng cách, token SAS sẽ cung cấp một phương tiện an toàn để cấp quyền truy cập được ủy quyền vào các tài nguyên trong tài khoản lưu trữ của bạn.

Điều này bao gồm kiểm soát chính xác quyền truy cập dữ liệu của khách hàng, chỉ định các tài nguyên mà họ có thể sử dụng, xác định các quyền của họ đối với các tài nguyên này và xác định thời hạn hiệu lực của token.

"Do thiếu giám sát và quản trị, token SAS gây ra rủi ro bảo mật và việc sử dụng chúng phải hạn chế nhất có thể. Những token này rất khó theo dõi vì Microsoft không cung cấp cách để quản lý tập trung nó trong Azure portal," Wiz cho biết.

"Ngoài ra, các token này có thể được cấu hình để có hiệu lực mãi mãi mà không giới hạn thời gian hết hạn. Do đó, việc sử dụng token SAS để chia sẻ ra bên ngoài là không an toàn và nên tránh."

38TB dữ liệu nhạy cảm bị lộ

Nhóm nghiên cứu Wiz nhận thấy rằng bên cạnh các mô hình nguồn mở, tài khoản lưu trữ nội bộ cũng vô tình cho phép truy cập vào 38TB dữ liệu nhạy cảm khác.

Dữ liệu bị lộ bao gồm các bản sao lưu thông tin cá nhân của nhân viên Microsoft, có chứa mật khẩu cho các dịch vụ của Microsoft, khóa bí mật và kho lưu trữ hơn 30.000 tin nhắn Microsoft Teams nội bộ có nguồn gốc từ 359 nhân viên Microsoft.

Trong tư vấn vảo mật được đưa ra hôm thứ Hai của Trung tâm ứng cứu bảo mật của Microsoft (MSRC), công ty cho biết rằng không có dữ liệu khách hàng nào bị lộ và không có dịch vụ nội bộ nào khác gặp nguy hiểm do sự cố này.

Wiz đã báo cáo sự việc với MSRC vào ngày 22 tháng 6 năm 2023, MSRC đã thu hồi mã token SAS để chặn tất cả quyền truy cập bên ngoài vào tài khoản lưu trữ Azure, giúp giảm thiểu sự cố vào ngày 24 tháng 6 năm 2023.

Trước đây, vào tháng 9 năm 2022, công ty tình báo về mối đe dọa SOCRadar cũng đã phát hiện một kho lưu trữ Azure Blob khác bị cấu hình sai của Microsoft, chứa dữ liệu nhạy cảm được lưu trữ trong các tệp từ năm 2017 đến tháng 8 năm 2022 và được liên kết với hơn 65.000 đối tượng từ 111 quốc gia.

Nguồn: bleepingcomputer.com.