38 To de données accidentellement exposées par l’équipe IA de Microsoft
La division de recherche en intelligence artificielle de Microsoft a accidentellement exposé des données pendant plusieurs années : on parle de 38 To de données confidentielles accessibles sur un espace de stockage Azure Storage. Que s'est-il passé ? Faisons le point.
L'entreprise Wiz a fait la découverte d'une fuite de données importante qui est associée à une mauvaise manipulation d'un employé de Microsoft : il a partagé l'URL d'un espace de stockage Blob d'Azure Storage, et ce dernier étant mal configuré, ses données sont accessibles. Cette URL a été partagée dans un dépôt GitHub public sur lequel travaillaient les membres de la division IA de Microsoft. Même si cela vient d'être découvert, cela fait plus de trois ans que les données sont accessibles (juillet 2020).
La mauvaise configuration est liée à un jeton Shared Access Signature (SAS) trop permissif, permettant d'avoir un accès total aux données de ce compte de stockage. Les chercheurs en sécurité de Wiz ne sont pas étonnés, car, d'après eux, les jetons SAS sont difficiles à suivre, gérer et révoquer dans le temps, car Microsoft n'intègre pas les outils nécessaires sur son portail Azure.
Wiz précise : "En outre, ces jetons peuvent être configurés pour durer éternellement, sans limite supérieure à leur durée d'expiration. Par conséquent, l'utilisation des jetons SAS pour le partage externe n'est pas sûre et doit être évitée."
Quel est le contenu de ce compte de stockage ?
Au-delà des modèles d'intelligence artificielle open source associés au compte de stockage de Microsoft, Wiz affirme qu'il était possible d'accéder à 38 To de données privées et internes.
Dans les données exposées, il y a des informations personnelles sur les employés de Microsoft, une archive de 30 000 messages internes de Microsoft Teams provenant de 359 employés de Microsoft, ainsi que des informations d'authentification comme des mots de passe pour des services Microsoft et des clés secrètes !
De son côté, Microsoft indique que ce sont les données personnelles de deux anciens employés et les messages Teams échangés avec leurs collègues : "Les informations exposées étaient des informations propres à deux anciens employés de Microsoft et aux postes de travail de ces anciens employés."
L'entreprise américaine tient à rassurer tout le monde en affirmant qu'il n'y avait aucune donnée client exposée, ni même aucun service interne menacé par cet incident. Pour ceux qui s'intéressent au sujet des jetons SAS, je vous encourage à lire l'article de Microsoft puisqu'il explique à quoi ils servent et quelles sont les bonnes pratiques pour les utiliser.
Pendant ce temps, les cybercriminels du gang BlackCat s'amusent à chiffrer les espaces de stockage Azure Storage de dizaines d'organisations.
