2023-ban már valószínűleg nem sokan akadnak, akik az életük során ne használtak volna valamilyen felhőtárhely-szolgáltatást, legyen szó a Google Drive-ról, a Dropboxról vagy a OneDrive-ról. Akinek pedig már volt dolga ezekkel, az jól tudja, hogy a fájlok megosztásánál hozzáférési jogosultságokat is megadhatunk, korlátozva a címzett által elvégezhető műveleteket.
Hasonló a helyzet a nagyobb tárhelyigényű ügyfeleknek szóló Microsoft Azure esetében is, ami most komoly bajba keverte a redmondi vállalatot, miután annak munkatársai véletlenül túl nagy szabadságot biztosítottak az egyik adatállomány megosztásakor.
A történetről a Wiz kiberbiztonsági cég számolt be, akik még júniusban fedezték fel, hogy a Microsoft véletlenül közel 40 TB-nyi bizalmas céges adatot hozott nyilvánosságra, amely évek óta elérhető volt az interneten. A bakit a vállalat mesterséges intelligenciával foglalkozó kutatási részlegén követték el, amikor feltöltöttek egy szabadon hozzáférhető, képfelismerő algoritmusok betanítását segítő adatcsomagot a GitHubra.
A kutatók azonban nem figyeltek eléggé, és a szóban forgó fájlok mellett az azokat őrző teljes Azure-fiókhoz is hozzáférést adtak. A GitHubon megosztott link birtokában a látogatók így nemcsak minden mást is láthattak, de akár saját tartalmakat is tölthettek fel, vagy szerkeszthették és törölhették a meglévőket. A Wiz szerint ezzel 38 TB-nyi adat szivárgott ki, köztük céges titkokkal, privát kulcsokkal és 30 ezer belsős Microsoft Teams-üzenetváltással. Egy ilyen látható az alábbi X-posztban is:
We found a public AI repo on GitHub, exposing over 38TB of private files – including personal computer backups of @Microsoft employees 👨💻
— Hillai Ben-Sasson (@hillai) September 18, 2023
How did it happen? 👀
A single misconfigured token in @Azure Storage is all it takes 🧵⬇️ pic.twitter.com/ZWMRk3XK6X
A helyzetet súlyosbítja, hogy a jelek szerint mindez még 2020-ban történt, de a redmondiak csak azt követően kapcsoltak, hogy a Wiz a nyár során értesítette őket a dologról. A felvilágosítást követően a Microsoft két nap múlva eltávolította a problémás URL-t, augusztusban pedig kivizsgálta a szivárogtatás hatásait. A TechCrunchnak nyilatkozva a vállalat most azt állítja, hogy sem ügyféladatok, sem a belső rendszerek működését kockáztató információk nem kerültek nyilvánosságra.
