Par le partage d’un lien vers un seul dossier sur leur dépôt GitHub, des chercheurs de Microsoft ont laissé la possibilité à n’importe qui de fouiller dans les 38 To de fichiers que contenait leur compte Azure.
Selon TechCrunch, des chercheurs de Microsoft ont accidentellement partagé des dizaines de téraoctets de données sensibles, dont des clés privées et des mots de passes sur leur dépôt GitHub.
La startup Wiz, qui travaille sur la sécurité des données dans le cloud, a découvert cette publication accidentelle et l’a partagée avec le média américain.
38 To venant de backup de deux ordinateurs de salariés
TechCrunch explique que le dépôt qui servait au partage de code pour la reconnaissance d’images contenait aussi un lien vers un dossier de stockage Azure permettant de télécharger les modèles d’IA. Wiz s’est rendu compte que le réglage de permissions permettait d’accéder aussi à toutes les données stockées par ce compte Azure.
Celui-ci contenait 38 téraoctets de données sensibles dont les backups personnels de deux ordinateurs de salariés de Microsoft. À l’intérieur, notamment, des mots de passe d’accès à des services Microsoft, des clés privés et plus de 30 000 messages échangés par des centaines d’employés de l’entreprise de Redmond via Teams. Selon le média, ces données étaient accessibles depuis 2020.
Un jeton de signature d’accès partagé en cause
Le réglage de permissions permettait aussi de modifier et supprimer n’importe quelle donnée stockée sur ce compte Azure.
Wiz explique que les chercheurs de Microsoft ont partagé non seulement l’url des données, mais qu’ils y ont aussi inclus le jeton (token) de la signature d’accès partagé (en anglais, Shared Access Signature, SAS). Ces tokens utilisés par Azure permettent de partager les droits sur les données du compte.
Wiz a informé Microsoft le 22 juin et l’entreprise a révoqué le jeton le 24 juin et terminé son enquête sur les potentielles conséquences dans son organisation le 16 août.