Aggiornamenti recenti Aprile 26th, 2024 9:14 AM
Set 20, 2023 Marina Londei Gestione dati, In evidenza, Leaks, News, RSS 0
I ricercatori di Wiz, compagnia di sicurezza per il cloud, hanno scoperto un repository GitHub della divisione Microsoft AI che permetteva di accedere a 38 TB di dati sensibili dei dipendenti.
La divisione di ricerca sull’IA aveva aggiornato il robust-models-transfer
, un repository open-source di codice e modelli per il riconoscimento delle immagini. Il team aveva pubblicato un URL di Azure Storage dal quale scaricare modelli ImageNet, ma l’indirizzo garantiva anche l’accesso a un database di dati privati non solo della divisione, ma anche di altri dipendenti della compagnia.
I 38TB di dati contenevano i backup dei computer personali dei dipendenti, le loro password per i servizi Microsoft, chiavi private e più di 3000 messaggi Teams scambiati tra 359 collaboratori. L’URL non solo forniva l’accesso iniziale al database, ma anche i permessi per modificare i file.
Il problema è stato causato da una configurazione errata dei SAS (Shared Access Signature) token, URL firmati che definiscono l’accesso ai dati dello storage Azure. In fase di creazione di un token si possono definire il livello di accesso ai file (da read-only al controllo completo) e la data di scadenza dei permessi, creando anche URL senza scadenza.
Come se non bastasse, individuare questo tipo di errore non è semplice: i token vengono creati client-side usando la chiave dell’account e non su Azure, e il token stesso non fa parte degli oggetti Azure. L’evento di creazione di un token non viene registrato sulla piattaforma, quindi un amministratore non è in grado di monitorare la validità e l’uso del token.
Anche la fase di revoca è piuttosto complicata: è necessario ruotare la chiave dell’account che ha firmato il token, di fatto invalidando tutti gli altri token creati dallo stesso account.
L’URL condiviso nel repository doveva consentire l’accesso in lettura ai modelli, ma per un errore di configurazione garantiva invece il controllo totale su tutti i file e le cartelle e aveva come data di scadenza il 6 ottobre 2051.
Il team di Wiz ha notificato il problema a Microsoft il 22 giugno scorso e due giorni dopo la compagnia ha invalidato il token. Microsoft ha analizzato l’impatto dell’errore e ha specificato che le uniche informazioni esposte sul web sono state quelle di due ex dipendenti, mentre i dati di clienti e servizi sono rimasti al sicuro.
L’azienda ha ricordato ai propri clienti di prestare la massima attenzione durante la creazione dei token, generando SAS con permessi minimi e scadenza ridotta, preferibilmente di un’ora al massimo.
Apr 18, 2024 0
Apr 17, 2024 0
Apr 10, 2024 0
Feb 28, 2024 0
Apr 26, 2024 0
Apr 24, 2024 0
Apr 24, 2024 0
Apr 23, 2024 0
Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 18, 2024 0
La corsa all’IA generativa ha spinto i produttori di...Apr 16, 2024 0
LockBit continua a colpire le organizzazioni di tutto il...Apr 15, 2024 0
Il 41% delle imprese italiane subisce mensilmente attacchi...Apr 12, 2024 0
In occasione del Privacy Tour 2024, l’iniziativa del...Mag 04, 2018 0
E se vi dicessimo che la saga di Star Wars ...Nov 14, 2016 2
Abbiamo rubato al blog di Kaspersky un vecchio pezzo di...Nov 08, 2016 2
Il numero uno degli scacchi mondiali Magnus Carlsen ha...Ott 28, 2016 0
Il pirata informatico che ha creato il ransomware cerca...Ott 11, 2016 0
Dopo la raffica di figuracce, l’azienda sospende per...Apr 26, 2024 0
I ricercatori di Avast hanno scoperto una nuova campagna...Apr 24, 2024 0
I ricercatori di Cisco Talos hanno scoperto una nuova...Apr 24, 2024 0
ToddyCat, un gruppo APT che colpisce prevalentemente...Apr 23, 2024 0
In occasione dell’Italian Partner Conferencetenutasi...Apr 23, 2024 0
Un team di ricercatori ha sviluppato quello che ritengono...