De AI-onderzoeksafdeling bij Microsoft heeft sinds juli 2020 per ongeluk zo’n 38 TB aan gevoelige interne data gelekt via Azure Cloud. Dat gebeurde tijdens het meewerken aan opensource AI-modellen via GitHub.
Sinds juli 2020 lekte de AI-onderzoeksafdeling van Microsoft ongeveer 38 TB aan gevoelige en interne data via Azure Storage. Dit gebeurde tijdens een samenwerking aan opensource AI-modellen via GitHub. Een teamlid heeft onbedoeld een URL gedeeld naar een fout geconfigureerde en dus onbeschermde opslag van Azure Blob.
Configuratiefout
Het lek is ontdekt door het Amerikaanse veiligheidsbedrijf Wiz. De startup vond onder andere Teams-gesprekken, back-ups van bestanden en heel wat passkeys, waaronder ook privé exemplaren.
Oorzaak zou een SAS-token (Shared Access Signature) zijn. Dat is een feature van Azure die ironisch genoeg eigenlijk dient voor controle op toegang tot data. In plaats van toegang te beperken, zette deze token net de deur open naar tonnen aan interne Microsoft-data. Wiz-researcher Hillai Ben-Sasson verbaasde zich online over hoe dit kon gebeuren.
Microsoft publiceerde inmiddels een blog via zijn MSRC-team (Microsoft Security Response Center), waarin het bedrijf benadrukt dat er geen data van klanten of gebruikers is gelekt. Niet dat je je daarover geen andere zorgen mag maken, volgens Mozilla.
Wiz heeft het MSRC op 22 juni op de hoogte gebracht. Microsoft heeft dan meteen de token geblokkeerd en het lek zou op 24 juni zijn gedicht. Op 7 juli was er dan een nieuwe token.
lees ook
Microsoft Teams blijft gevoelig voor phishing-aanvallen
We vallen hiermee in herhaling, maar ook dit incident maakt het nogmaals duidelijk hoe belangrijk training voor werknemers is, ook bij tech-iconen als Microsoft. Zoals dit geval aantoont, kan een vrij “kleine” onoplettendheid al grote gevolgen hebben.