Des chercheurs en IA de Microsoft ont partagé accidentellement 38 To de données sensibles

TechCrunch explique que le dépôt qui servait au partage de code pour la reconnaissance d’images contenait aussi un lien vers un dossier de stockage Azure permettant de télécharger les modèles d’IA. Wiz s’est rendu compte que le réglage de permissions permettait d’accéder aussi à toutes les données stockées par ce compte Azure.

Celui-ci contenait 38 téraoctets de données sensibles dont les backups personnels de deux ordinateurs de salariés de Microsoft. À l’intérieur, notamment, des mots de passe d’accès à des services Microsoft, des clés privés et plus de 30 000 messages échangés par des centaines d’employés de l’entreprise de Redmond via Teams. Selon le média, ces données étaient accessibles depuis 2020.

Un jeton de signature d’accès partagé en cause

Le réglage de permissions permettait aussi de modifier et supprimer n’importe quelle donnée stockée sur ce compte Azure.

Wiz explique que les chercheurs de Microsoft ont partagé non seulement l’url des données, mais qu’ils y ont aussi inclus le jeton (token) de la signature d’accès partagé (en anglais, Shared Access Signature, SAS). Ces tokens utilisés par Azure permettent de partager les droits sur les données du compte.

Wiz a informé Microsoft le 22 juin et l’entreprise a révoqué le jeton le 24 juin et terminé son enquête sur les potentielles conséquences dans son organisation le 16 août.

Source