Miembros del equipo de IA de Microsoft han expuesto accidentalmente hasta 38 TB de datos sensibles de la empresa, según la firma de seguridad Wiz. La filtración fue causada por un token Azure Shared Access Signature (SAS) mal configurado. Los investigadores de Wiz descubrieron que el equipo de investigación de IA de Microsoft había subido a su repositorio de GitHub una URL con una configuración de acceso demasiado permisiva. La URL permitía el acceso sin restricciones a lo que deberían haber sido datos privados.
La filtración de datos incluía copias de seguridad completas de dos dispositivos de empleados, revelando contraseñas de servicios de Microsoft, claves de cifrado privadas y archivos de más de 30.000 mensajes internos de Microsoft Teams.
El equipo de investigación de IA de Microsoft suele compartir enlaces a conjuntos de datos de entrenamiento de código abierto para uso de la comunidad. Sin embargo, en este caso concreto, la URL dirigía a los usuarios a un contenedor de almacenamiento de Azure que estaba mal configurado, lo que permitía el acceso no autorizado a datos más sensibles.
Los investigadores habían estado utilizando tokens SAS de Azure para compartir archivos, que generalmente restringen el acceso no autorizado. Sin embargo, Wiz descubrió que la URL estaba configurada para permitir el acceso a toda la cuenta de Azure Storage, exponiendo 38 TB adicionales de datos privados.
La investigación de Wiz reveló que el error inicial se produjo en julio de 2020, pero no se descubrió hasta junio de 2023. Tras el hallazgo, se informó a Microsoft, que inició una investigación sobre el consiguiente riesgo para los clientes. Según un comunicado de Microsoft, no había pruebas de que los datos de los clientes estuvieran expuestos y ningún otro servicio interno se vio comprometido como resultado de este incidente.
El episodio pone de relieve la necesidad de mejorar las prácticas de gobernanza y supervisión de los tokens SAS. Wiz señala que Microsoft carece de un método centralizado para gestionar estos tokens, lo que crea riesgos de seguridad. La dificultad de rastrear estos tokens y su potencial de validez ilimitada los hace inseguros para ser compartidos externamente. En respuesta, Microsoft ha anunciado que está reevaluando sus protocolos de gestión de tokens SAS y está trabajando en mejoras continuas para reforzar aún más la función de tokens SAS.