fuite données
Par le partage d’un lien vers un seul dossier sur leur dépôt GitHub, des chercheurs de Microsoft ont laissé la possibilité à n’importe qui de fouiller dans les 38 To de fichiers que contenait leur compte Azure.
Selon TechCrunch, des chercheurs de Microsoft ont accidentellement partagé des dizaines de téraoctets de données sensibles, dont des clés privées et des mots de passes sur leur dépôt GitHub.
La startup Wiz, qui travaille sur la sécurité des données dans le cloud, a découvert cette publication accidentelle et l’a partagée avec le média américain.
TechCrunch explique que le dépôt qui servait au partage de code pour la reconnaissance d’images contenait aussi un lien vers un dossier de stockage Azure permettant de télécharger les modèles d’IA. Wiz s’est rendu compte que le réglage de permissions permettait d’accéder aussi à toutes les données stockées par ce compte Azure.
Celui-ci contenait 38 téraoctets de données sensibles dont les backups personnels de deux ordinateurs de salariés de Microsoft. À l’intérieur, notamment, des mots de passe d’accès à des services Microsoft, des clés privés et plus de 30 000 messages échangés par des centaines d’employés de l’entreprise de Redmond via Teams. Selon le média, ces données étaient accessibles depuis 2020.
Le réglage de permissions permettait aussi de modifier et supprimer n’importe quelle donnée stockée sur ce compte Azure.
Wiz explique que les chercheurs de Microsoft ont partagé non seulement l’url des données, mais qu’ils y ont aussi inclus le jeton (token) de la signature d’accès partagé (en anglais, Shared Access Signature, SAS). Ces tokens utilisés par Azure permettent de partager les droits sur les données du compte.
Wiz a informé Microsoft le 22 juin et l’entreprise a révoqué le jeton le 24 juin et terminé son enquête sur les potentielles conséquences dans son organisation le 16 août.
Mots-clés : cybersécurité, sécurité informatique, protection des données, menaces cybernétiques, veille cyber, analyse de vulnérabilités, sécurité des réseaux, cyberattaques, conformité RGPD, NIS2, DORA, PCIDSS, DEVSECOPS, eSANTE, intelligence artificielle, IA en cybersécurité, apprentissage automatique, deep learning, algorithmes de sécurité, détection des anomalies, systèmes intelligents, automatisation de la sécurité, IA pour la prévention des cyberattaques.
Bots et IA biaisées : une menace silencieuse pour la cybersécurité des entreprises Introduction Les…
Cloudflare en Panne : Causes Officielles, Impacts et Risques pour les Entreprises Le 5 décembre…
Introduction La cybersécurité est aujourd’hui une priorité mondiale. Récemment, la CISA (Cybersecurity and Infrastructure Security…
La transformation numérique face aux nouvelles menaces Le cloud computing s’impose aujourd’hui comme un…
Les attaques par déni de service distribué (DDoS) continuent d'évoluer en sophistication et en ampleur,…
Face à l'adoption croissante des technologies d'IA dans les PME, une nouvelle menace cybersécuritaire émerge…
This website uses cookies.