Aggiornamenti recenti Settembre 18th, 2025 4:37 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Cohesity Identity Resilience: da Cohesity e Semperis una soluzione per proteggere le infrastrutture di identità aziendali
- MuddyWater si evolve: attacchi più sofisticati e infrastruttura più resiliente
- Un attacco supply chain ha compromesso oltre 40 pacchetti NPM
- TeamItaly, presentata la nuova squadra di giovani cyber defender
- CERT-AGID 6-12 settembre: i ransomware mostrano una nuova tattica di ingegneria sociale
Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
I ricercatori di Wiz, compagnia di sicurezza per il cloud, hanno scoperto un repository GitHub della divisione Microsoft AI che permetteva di accedere a 38 TB di dati sensibili dei dipendenti.
La divisione di ricerca sull’IA aveva aggiornato il robust-models-transfer, un repository open-source di codice e modelli per il riconoscimento delle immagini. Il team aveva pubblicato un URL di Azure Storage dal quale scaricare modelli ImageNet, ma l’indirizzo garantiva anche l’accesso a un database di dati privati non solo della divisione, ma anche di altri dipendenti della compagnia.
Pixabay
I 38TB di dati contenevano i backup dei computer personali dei dipendenti, le loro password per i servizi Microsoft, chiavi private e più di 3000 messaggi Teams scambiati tra 359 collaboratori. L’URL non solo forniva l’accesso iniziale al database, ma anche i permessi per modificare i file.
Microsoft e i token SAS
Il problema è stato causato da una configurazione errata dei SAS (Shared Access Signature) token, URL firmati che definiscono l’accesso ai dati dello storage Azure. In fase di creazione di un token si possono definire il livello di accesso ai file (da read-only al controllo completo) e la data di scadenza dei permessi, creando anche URL senza scadenza.
Come se non bastasse, individuare questo tipo di errore non è semplice: i token vengono creati client-side usando la chiave dell’account e non su Azure, e il token stesso non fa parte degli oggetti Azure. L’evento di creazione di un token non viene registrato sulla piattaforma, quindi un amministratore non è in grado di monitorare la validità e l’uso del token.
Pixabay
Anche la fase di revoca è piuttosto complicata: è necessario ruotare la chiave dell’account che ha firmato il token, di fatto invalidando tutti gli altri token creati dallo stesso account.
L’URL condiviso nel repository doveva consentire l’accesso in lettura ai modelli, ma per un errore di configurazione garantiva invece il controllo totale su tutti i file e le cartelle e aveva come data di scadenza il 6 ottobre 2051.
Il team di Wiz ha notificato il problema a Microsoft il 22 giugno scorso e due giorni dopo la compagnia ha invalidato il token. Microsoft ha analizzato l’impatto dell’errore e ha specificato che le uniche informazioni esposte sul web sono state quelle di due ex dipendenti, mentre i dati di clienti e servizi sono rimasti al sicuro.
L’azienda ha ricordato ai propri clienti di prestare la massima attenzione durante la creazione dei token, generando SAS con permessi minimi e scadenza ridotta, preferibilmente di un’ora al massimo.
Condividi l'articolo
Earth Lusca torna all'attacco con una nuova backdoor
Il cybercrimine organizza competizioni per sviluppare nuovi metodi d'attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli... -
L’IA diventa arma e vittima per il cybercrimine: il... L’intelligenza artificiale diventa non solo... -
Report Acronis: il ransomware rimane la minaccia principale... Il ransomware continua a dilagare e rimane la minaccia... -
Migrazione a Windows 11: le aziende devono affrontare molte... Il prossimo 14 ottobre terminerà ufficialmente il supporto... -
IoT, i dispositivi connessi sono ancora troppo esposti alle... Il mondo dell’IoT rimane uno dei più esposti alle...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Cohesity Identity Resilience: da Cohesity e Semperis una... A un anno dall’annuncio della partnership, Cohesity e... -
MuddyWater si evolve: attacchi più sofisticati e... La minaccia di MuddyWater non si arresta, anzi: negli...
-
Un attacco supply chain ha compromesso oltre 40 pacchetti... I ricercatori della compagnia di sicurezza Socket hanno... -
TeamItaly, presentata la nuova squadra di giovani cyber... La nuova squadra italiana per le competizioni di... -
CERT-AGID 6-12 settembre: i ransomware mostrano una nuova... La scorsa settimana il CERT-AGID ha identificato e...
Ransomware: la serie
No posts found.