"Hey dude!": Microsoft exponierte 38 Terabyte private Daten

19. September 2023 um 10:59
  • security
  • Microsoft
  • datenschutz
image

Wegen eines falsch konfigurierten SAS-Tokens sollen Nachrichten, Passwörter und private Schlüssel von Microsoft-Mitarbeitenden zugänglich gewesen sein – drei Jahre lang.

Ein Team von Microsoft hat 38 Terabyte an Daten exponiert, darunter private Informationen von Mitarbeitenden. Diese sollen seit Juli 2020 offen zugänglich gewesen sein. Damals stellte ein Mitarbeiter eine URL für Open-Source-KI-Lernmodelle in ein öffentliches Github-Repository. Das machten nun Forschende der Security-Firma Wiz bekannt.
Die URL erlaubte nicht nur Zugang zu den Modellen, sondern auch zu sensiblen Daten. Darunter fanden sich Backups von zwei Workstations mit privaten Schlüsseln, Passwörtern und über 30'000 internen Nachrichten aus Microsoft Teams. Von "Hey dude!" bis zu Zugangsdaten war in den 38 Terabyte laut Wiz alles zu finden.
Das Konto war nicht direkt öffentlich zugänglich, wie Wiz in einem Blogbeitrag festhält. Die Microsoft-Entwickler nutzten aber einen Azure-Mechanismus namens "SAS-Tokens". Mit diesem kann ein Link erstellt werden, der den Zugriff auf Daten eines Azure-Storage-Kontos ermöglicht, obwohl es immer noch als privat erscheint. Der Zugriff war nicht nur zu weit definiert, sondern erlaubte statt Lesezugriff auch das Löschen und Überschreiben von Daten.
"Aufgrund mangelnder Überwachung und Kontrolle stellen SAS-Token ein Sicherheitsrisiko dar. Ihre Verwendung sollte so stark wie möglich eingeschränkt werden. Die Token sind sehr schwer zu verfolgen, da Microsoft keine zentrale Möglichkeit bietet, sie innerhalb des Azure-Portals zu verwalten", warnt Wiz im Blogbeitrag, in dem auch technische Details zu finden sind. Verschärft wird das Problem durch die immensen Datenmengen, die für KI-Trainings nötig sind und die Überwachung erschweren.
Das Security Response Center Team von Microsoft (MSRC) erklärte seinerseits, dass keine Kundendaten preisgegeben worden und auch keine anderen internen Dienste durch den Vorfall gefährdet seien. Die Lücke ist mittlerweile geschlossen. In der Mitteilung des Response-Teams heisst es, Kunden müssten keinerlei Massnahmen ergreifen.
Wiz meldete den Vorfall am 22. Juni 2023 an das MSRC, das daraufhin das SAS-Token widerrief, um externe Zugriffe auf das Azure-Speicherkonto zu blockieren. Seit dem 24. Juni soll das Problem entschärft sein, gestern wurde der Vorfall im Rahmen eines Coordinated Vulnerability Disclosure öffentlich kommuniziert.

Loading

Mehr zum Thema

image

Unispital Zürich ersetzt On-Prem-Skype durch Microsoft 365

Das USZ will in der Kommunikation konsequent auf Microsofts Cloud setzen. Dies zeigt eine interne Nachricht an die Mitarbeitenden.

publiziert am 28.9.2023 1
image

DSA: Moderations-Datenbank zählt schon über 9 Millionen Einträge

Der Digital Service Act der EU ist grad einen Monat alt, schon ist die Transparenz-Datenbank gut gefüllt. Sie lässt sich nach Plattform und Verstössen durchsuchen. Twitter weist wenige Treffer aus.

publiziert am 28.9.2023
image

Die USA fahren eine neue Cyberstrategie

Statt auf Alleingänge wollen die Vereinigten Staaten in Sachen IT-Sicherheit vermehrt auf Kooperationen mit anderen Ländern und der Industrie setzen.

publiziert am 28.9.2023
image

VW fährt Produktion nach IT-Problemen wieder hoch

Seit Mittwoch standen mehrere Werke von Volkswagen wegen eines Informatikproblems still. Einige Systeme könnten laut VW noch immer beeinträchtigt sein.

publiziert am 28.9.2023