Datenleck: 38 TB an internen Microsoftdaten waren 3 Jahre öffentlich
Sicherheitsforscher von Wiz haben im vergangenen Juni herausgefunden, dass die KI-Abteilung von Microsoft bei der Veröffentlichung freier Trainingsdaten auf Github versehentlich rund 38 Terabyte an weiteren internen Daten offengelegt hatte. Wie die Forscher in ihrem Bericht(öffnet im neuen Fenster) zu dem Vorfall erklären, sollen dadurch eine Reihe privater Schlüssel, Passwörter, mehr als 30.000 via Microsoft Teams ausgetauschte interne Nachrichten sowie Festplatten-Back-ups der Workstations zweier Mitarbeiter rund drei Jahre lang öffentlich zugänglich gewesen sein.
Entstanden sei das Datenleck am 20. Juli 2020 durch einen Commit, mit dem Microsofts KI-Forscher versehentlich ein sogenanntes SAS-Token (Shared Access Signature) auf Github verfügbar machten. Dabei handelt es sich um eine signierte URL, die Zugriffe auf Daten von Azure-Storage-Konten gewährt. "Die Zugriffsebene kann vom Benutzer angepasst werden; die Berechtigungen reichen von schreibgeschützt bis zur vollständigen Kontrolle, während der Umfang entweder eine einzelne Datei, ein Container oder ein ganzes Speicherkonto sein kann" , so die Sicherheitsforscher.
Darüber hinaus lasse sich auch die Gültigkeitsdauer eines SAS-Tokens beliebig anpassen. Das Konzept biete den Nutzern zwar eine hohe Flexibilität, jedoch bestehe dadurch auch ein großes Risiko, zu viele Zugriffe zu gewähren. Im schlimmsten Fall führe dies dazu, dass ein Token volle Kontrollrechte für das gesamte Konto mitbringe. So sei auch das von Microsoft auf Github veröffentlichte SAS-Token konfiguriert gewesen, so dass letztendlich 38 Terabyte an internen Daten frei zugänglich waren.
Laut Microsoft sind keine Kundendaten betroffen
Die Wiz-Forscher entdeckten das veröffentlichte SAS-Token am 22. Juni 2023, also erst rund drei Jahre, nachdem es erstmals auf Github aufgetaucht war. Zwei Tage später erklärte Microsoft das Token für ungültig und leitete nach eigenen Angaben interne Untersuchungen ein, um das Ausmaß des Vorfalls zu erfassen.
Der Konzern betont in einem eigenen Blogbeitrag(öffnet im neuen Fenster) zu dem Datenleck, es seien keine Kundendaten an die Öffentlichkeit gelangt und es seien seitens der Kunden des Unternehmens keinerlei Maßnahmen erforderlich. Andere interne Microsoftdienste seien durch das Problem ebenfalls nicht gefährdet.
Die Wiz-Forscher erklären angesichts dieses Datenlecks, dass die Verwendung von SAS-Token für die externe Freigabe unsicher ist und vermieden werden sollte. Die Token seien nur sehr schwer zu verfolgen und es gebe im Azure-Portal keine zentrale Verwaltungsmöglichkeit dafür. "Darüber hinaus können diese Token so konfiguriert werden, dass sie praktisch ewig gültig sind" , so die Forscher. Folglich stelle ihr Einsatz aufgrund mangelnder Überwachung und Kontrolle ein Sicherheitsrisiko dar.
- Anzeige Hier geht es zu Künstliche Intelligenz: Wissensverarbeitung bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.