Was du wissen musst
- Bei all den Microsoft-Lecks heute wurde auch festgestellt, dass das KI-Forschungsteam von Microsoft fälschlicherweise private Daten des Unternehmens im Wert von 38 TB durchsickern ließ.
- Zu den durchgesickerten Daten gehörten Backups der Computer von Microsoft-Mitarbeitern.
- Zu den auf den Computern gespeicherten Daten gehörten Passwörter für Microsoft-Dienste, geheime Schlüssel und über 30.000 interne Teams-Nachrichten von über 350 Mitarbeitern des Unternehmens.
- Microsoft hat inzwischen eine Erklärung abgegeben, aus der hervorgeht, dass weder Kundendaten noch interne Dienste kompromittiert wurden.
- Wiz, ein Cybersicherheitsunternehmen, hat die Ursache des Lecks auf eine Azure-Funktion namens Shared Access Signature (SAS)-Tokens eingegrenzt, die Benutzern uneingeschränkten Zugriff auf die Azure Storage-Ressourcen gewährte.
Microsoft muss nach dem „größten Leak in der Geschichte der Xbox“ einen tollen Tag haben. Das Leck brachte Einzelheiten zu einer aktualisierten Xbox Series
Und jetzt hat das KI-Forschungsteam von Microsoft auch fälschlicherweise 38 TB private Unternehmensdaten durchsickern lassen. Laut Wiz, einem Cybersicherheitsunternehmen, enthielten die Daten auch einen Link zu Backups der Computer von Microsoft-Mitarbeitern. Die auf den Computern gespeicherten Daten enthielten Passwörter für Microsoft-Dienste, geheime Schlüssel und über 30.000 interne Teams-Nachrichten von mehr als 350 Mitarbeitern des Unternehmens.
Microsoft gab schnell eine Stellungnahme ab während ich mit TechCrunch sprach, um besorgten Kunden zu versichern, dass ihre Daten nicht gefährdet sind. Das Unternehmen gab außerdem an, dass auch interne Dienste nicht betroffen seien.
Dem Bericht zufolge hat das KI-Forschungsteam die Trainingsdaten hochgeladen, die sensible Daten enthalten, darunter Open-Source-Code und KI-Modelle für die Bilderkennung. Daher konnten Benutzer, die auf das GitHub-Repository stießen, auf den Azure-Link zugreifen und so die Modelle herunterladen.
Und während Microsoft den Kunden versicherte, dass ihre Daten unberührt blieben und keine internen Dienste beeinträchtigt würden, gewährte der Link den Benutzern vollständigen Zugriff auf das Azure-Speicherkonto. Seltsamerweise konnten Benutzer mit Zugriff die im Konto gespeicherten Daten ändern, einschließlich des Hochladens, Überschreibens und sogar Löschens vorhandener Dateien.
Das Cybersicherheitsunternehmen grenzte das Problem auf eine Azure-Funktion ein: Shared Access Signature (SAS)-Tokens. Im Wesentlichen handelt es sich bei der Funktion um eine URL, die eingeschränkte Zugriffsrechte auf Azure Storage-Ressourcen gewährt. Während es möglich ist, die Funktion so zu konfigurieren, dass der Zugriff auf bestimmte Dateien eingeschränkt wird, bietet dieser Link Benutzern uneingeschränkten Zugriff.
Wiz hat das Problem am 22. Juni 2023 gemeldet und Microsoft gemeldet. Das Unternehmen hat schnell auf das Problem reagiert und das SAS-Token am 23. Juni 2023 widerrufen das Problem als falsch positiv.
Heilmittel für die Zukunft
Die potenzielle Gefahr, die solche Lecks verursachen könnten, wenn sie in die falschen Hände geraten, ist unvorstellbar. Glücklicherweise wurde das Problem in diesem Fall schnell erkannt und behoben.
Microsoft hat seitdem eine umfassende Liste mit Hervorhebungen herausgegeben empfohlene Vorgehensweise für den Umgang mit SAS-Tokens. Es ist auch offensichtlich, dass Benutzer bei der Verwendung der Funktion vorsichtig sein und sicherstellen müssen, dass Einschränkungen eingeführt werden, um die Replikation einer solchen Instanz in Zukunft zu verhindern, was möglicherweise großen Schaden anrichten könnte.