Unbeabsichtigtes Datenleck
Kürzlich wurde bekannt, dass Forscher der KI-Abteilung von Microsoft versehentlich mehrere Terabyte sensibler Daten preisgegeben haben. Dies geschah bei der Veröffentlichung eines Speicherbuckets mit Open-Source-Trainingsdaten auf GitHub.
Die Entdeckung des Lecks
Das Cloud-Sicherheits-Startup Wiz stolperte bei seiner Arbeit über die versehentliche Offenlegung von in der Cloud gehosteten Daten über ein GitHub-Repository, das der KI-Forschungsabteilung von Microsoft gehörte. Was als einfache Bereitstellung von Open-Source-Code und KI-Modellen für die Bilderkennung begann, entwickelte sich schnell zu einem Albtraum für das Sicherheitsteam von Microsoft.
Das Ausmaß des Datenlecks
Beim Zugriff auf die bereitgestellte Azure-Speicher-URL stellte Wiz fest, dass diese so konfiguriert war, dass sie Berechtigungen für das gesamte Speicherkonto gewährte. Dies führte zur unbeabsichtigten Offenlegung von 38 Terabyte sensibler Daten. Unter den exponierten Daten befanden sich persönliche Backups von zwei Microsoft-Mitarbeitercomputern, Passwörter für Microsoft-Dienste, geheime Schlüssel und Tausende interner Microsoft Teams-Nachrichten.
Die Wurzel des Problems
Es stellte sich heraus, dass das Problem nicht direkt mit dem Speicherkonto zusammenhing, sondern mit einem SAS-Token (Shared Access Signature), das in der URL enthalten und zu permissiv war. SAS-Tokens sind ein Mechanismus von Azure, der es Nutzern ermöglicht, Daten aus einem Azure-Speicherkonto freizugeben.
Die Konsequenzen und die Reaktion von Microsoft
Nachdem Wiz seine Erkenntnisse am 22. Juni mit Microsoft geteilt hatte, wurde das SAS-Token am 24. Juni von Microsoft zurückgezogen. Nach Abschluss der Untersuchungen im August betonte Microsoft, dass keine Kundendaten preisgegeben worden seien. Als direkte Reaktion auf diese Entdeckung hat Microsoft auch den GitHub Privacy Service verbessert, um sicherzustellen, dass solche Vorfälle in Zukunft vermieden werden.
Schlussfolgerungen
Dieser Vorfall unterstreicht die wachsenden Herausforderungen im Bereich der Cybersicherheit, insbesondere in einer Ära, in der KI und Cloud-Technologien dominieren. Er ist ein Weckruf für Unternehmen, ihre Sicherheitsprotokolle zu überdenken und sicherzustellen, dass menschliches Versagen nicht zu schwerwiegenden Datenschutzverletzungen führt.
