Wiz analyse régulièrement le Web à la recherche de conteneurs de stockage mal configurés afin de trouver des données cloud publiées par inadvertance. Au cours d’une analyse en cours, les experts en sécurité sont tombés sur un référentiel GitHub provenant de la division d’étude de recherche sur l’IA de Microsoft.
Ce référentiel se compose généralement de code open source et de conceptions d’IA pour la reconnaissance d’images. Les utilisateurs peuvent télécharger ces modèles via une URL de stockage Azure.
Accès à 38 To de données personnelles
Un examen supplémentaire a révélé que cette URL n’admet pas uniquement les modèles d’IA open source. L’URL donnait des autorisations sur l’ensemble du compte de stockage, ce qui permettait également d’accéder à d’autres informations Microsoft.
Plus précisément, ce cas impliquait 38 To de données, y compris les sauvegardes de 2 membres du personnel Microsoft. Les données accessibles par erreur étaient constituées de mots de passe pour d’autres services Microsoft, de clés secrètes et de plus de 30 000 messages internes Microsoft Teams provenant de 359 autres employés de Microsoft.
Déclencheur dans les jetons SAS
Selon Wiz, la cause de cette violation involontaire d’informations réside dans l’utilisation par les membres du personnel de Microsoft de ce que l’on appelle les jetons SAS. Les jetons SAS sont utilisés pour partager des informations à partir des comptes Azure Storage.
Ici, le niveau d’accès peut être limité à des fichiers spécifiques. Dans ce cas, néanmoins, l’accès a été établi pour l’ensemble du compte Azure Storage, composé des 38 To de fichiers qui ne devaient pas nécessairement être publics.
De nouvelles vérifications sont nécessaires
Selon Pour le spécialiste de la sécurité Wiz, ce cas est un exemple typique des dangers qui peuvent surgir lorsque les membres du personnel traitent de grandes quantités de données (de formation) pour les fonctions d’IA. Cela soulève la nécessité de nouveaux contrôles et mesures de sécurité.
Toute l’actualité en temps réel, est sur L’Entrepreneur
