+33 9 72 14 34 53Des chercheurs en sécurité de Wiz ont trouvé un répertoire GitHub exposé sur le web appartenant à la division de recherche en intelligence artificielle de Microsoft. Ce dernier contient 38 To de données incluant des mots de passe, des clés privées et des messages Teams de 359 employés du géant américain.
Les chercheurs en sécurité ont aussi leurs routines, dont celle de scanner Internet à la recherche de mauvaises configurations systèmes pouvant exposer des données. Lors d'une recherche concernant celles liées aux containers de stockage, l'équipe de Wiz est tombée sur une pépite, un répertoire GitHub exposé sur le web appartenant à la division de recherche en intelligence artificielle de Microsoft ayant pour objet de fournir du code source et des modèles d'IA pour de la reconnaissance d'images.
« Notre analyse montre que ce compte contenait 38 To de données supplémentaires, notamment des sauvegardes d'ordinateurs personnels d'employés de Microsoft. Ces sauvegardes contenaient des données personnelles sensibles, notamment des mots de passe pour les services Microsoft, des clés secrètes et plus de 30 000 messages internes Microsoft Teams de 359 employés de Microsoft » explique Wiz. « Cependant, il est important de noter que ce compte de stockage n'était pas directement exposé au public ; il s'agissait en fait d'un compte de stockage privé. Les développeurs de Microsoft ont utilisé un mécanisme Azure appelé SAS tokens, qui permet de créer un lien partageable donnant accès aux données d'un compte de stockage Azure - alors qu'à l'inspection, le compte de stockage semble toujours totalement privé ».
Pas de données clients exposées, des recommandations à suivre
Le répertoire GitHub hébergé sur un compte Azure Storage accessible via un lien partagé créé via SAS tokens aurait pu constituer une mine d'or pour des pirates. Wiz a prévenu Microsoft de sa découverte le 22 juin 2023 qui a dans la foulée (le 24) invalidé l'accès au lien avant d'en générer un autre le 7 juillet. Après avoir mené une enquête approfondie d'impact potentiel le 16 août, la divulgation de cet incident a finalement été faite ce 18 septembre. « Aucune donnée client n'a été exposée et aucun autre service interne n'a été mis en danger à cause de ce problème. Aucune action de la part des clients n'est requise en réponse à ce problème », a précisé la firme de Redmond.
Microsoft a tiré plusieurs enseignements de cette affaire en émettant différentes recommandations. En particulier en s'assurant d'appliquer le principe de moindre privilège, d'utiliser des liens partagés SAS d'une validité d'une heure maximum, de prévoir un plan de révocation de tokens, et de surveiller et d'auditer son compte de stockage.
https://www.lemondeinformatique.fr/actualites/lire-microsoft-publie-accidentellement-plus-de-38-to-de-donnees-privees-91590.html
Vous appréciez cette veille Technologie Responsable ? Récompensez le temps passé pour la préparation et les coûts liés au fonctionnement du site avec un montant libre ou bien contactez-nous dès aujourd'hui pour une conférence ou une consultation à tarification consciente !
Accueil Veille Article suivant Article précédent Merci pour cette veille
