Aggiornamenti recenti Ottobre 14th, 2024 2:00 PM
Set 20, 2023 Marina Londei Gestione dati, In evidenza, Leaks, News, RSS 0
I ricercatori di Wiz, compagnia di sicurezza per il cloud, hanno scoperto un repository GitHub della divisione Microsoft AI che permetteva di accedere a 38 TB di dati sensibili dei dipendenti.
La divisione di ricerca sull’IA aveva aggiornato il robust-models-transfer
, un repository open-source di codice e modelli per il riconoscimento delle immagini. Il team aveva pubblicato un URL di Azure Storage dal quale scaricare modelli ImageNet, ma l’indirizzo garantiva anche l’accesso a un database di dati privati non solo della divisione, ma anche di altri dipendenti della compagnia.
I 38TB di dati contenevano i backup dei computer personali dei dipendenti, le loro password per i servizi Microsoft, chiavi private e più di 3000 messaggi Teams scambiati tra 359 collaboratori. L’URL non solo forniva l’accesso iniziale al database, ma anche i permessi per modificare i file.
Il problema è stato causato da una configurazione errata dei SAS (Shared Access Signature) token, URL firmati che definiscono l’accesso ai dati dello storage Azure. In fase di creazione di un token si possono definire il livello di accesso ai file (da read-only al controllo completo) e la data di scadenza dei permessi, creando anche URL senza scadenza.
Come se non bastasse, individuare questo tipo di errore non è semplice: i token vengono creati client-side usando la chiave dell’account e non su Azure, e il token stesso non fa parte degli oggetti Azure. L’evento di creazione di un token non viene registrato sulla piattaforma, quindi un amministratore non è in grado di monitorare la validità e l’uso del token.
Anche la fase di revoca è piuttosto complicata: è necessario ruotare la chiave dell’account che ha firmato il token, di fatto invalidando tutti gli altri token creati dallo stesso account.
L’URL condiviso nel repository doveva consentire l’accesso in lettura ai modelli, ma per un errore di configurazione garantiva invece il controllo totale su tutti i file e le cartelle e aveva come data di scadenza il 6 ottobre 2051.
Il team di Wiz ha notificato il problema a Microsoft il 22 giugno scorso e due giorni dopo la compagnia ha invalidato il token. Microsoft ha analizzato l’impatto dell’errore e ha specificato che le uniche informazioni esposte sul web sono state quelle di due ex dipendenti, mentre i dati di clienti e servizi sono rimasti al sicuro.
L’azienda ha ricordato ai propri clienti di prestare la massima attenzione durante la creazione dei token, generando SAS con permessi minimi e scadenza ridotta, preferibilmente di un’ora al massimo.
Ott 10, 2024 0
Set 13, 2024 0
Ago 08, 2024 0
Lug 31, 2024 0
Ott 14, 2024 0
Ott 14, 2024 0
Ott 11, 2024 0
Ott 10, 2024 0
Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business email...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 09, 2024 0
Acronis ha rilasciato il suo report “Acronis...Ott 03, 2024 0
Dopo essere entrata in vigora il 17 gennaio 2023, la NIS2...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Ott 09, 2024 0
Negli ultimi anni sempre più aziende stanno sottoscrivendo...Ott 02, 2024 0
Grazie al machine learning, il Global Research and Analysis...Set 30, 2024 0
Il 2024 è l’anno delle nuove normative di sicurezza:...Mag 21, 2024 0
Una delle sfide principali delle aziende distribuite sul...Mag 08, 2024 0
L’ultimo non è stato un buon anno per Microsoft:...Ott 14, 2024 0
Lo scorso mercoledì la CISA (Cybersecurity &...Ott 14, 2024 0
Nell’ultima settimana, il CERT-AGID (Computer...Ott 11, 2024 0
Mercoledì Google ha annunciato Global Signal Exchange,...Ott 10, 2024 0
I ricercatori di Jscrambler hanno individuato peculiare...Ott 10, 2024 0
Negli ultimi anni il numero di campagne di business