"Hey dude!": Microsoft exponierte 38 Terabyte private Daten

19. September 2023 um 10:59
  • security
  • Microsoft
  • datenschutz
image

Wegen eines falsch konfigurierten SAS-Tokens sollen Nachrichten, Passwörter und private Schlüssel von Microsoft-Mitarbeitenden zugänglich gewesen sein – drei Jahre lang.

Ein Team von Microsoft hat 38 Terabyte an Daten exponiert, darunter private Informationen von Mitarbeitenden. Diese sollen seit Juli 2020 offen zugänglich gewesen sein. Damals stellte ein Mitarbeiter eine URL für Open-Source-KI-Lernmodelle in ein öffentliches Github-Repository. Das machten nun Forschende der Security-Firma Wiz bekannt.
Die URL erlaubte nicht nur Zugang zu den Modellen, sondern auch zu sensiblen Daten. Darunter fanden sich Backups von zwei Workstations mit privaten Schlüsseln, Passwörtern und über 30'000 internen Nachrichten aus Microsoft Teams. Von "Hey dude!" bis zu Zugangsdaten war in den 38 Terabyte laut Wiz alles zu finden.
Das Konto war nicht direkt öffentlich zugänglich, wie Wiz in einem Blogbeitrag festhält. Die Microsoft-Entwickler nutzten aber einen Azure-Mechanismus namens "SAS-Tokens". Mit diesem kann ein Link erstellt werden, der den Zugriff auf Daten eines Azure-Storage-Kontos ermöglicht, obwohl es immer noch als privat erscheint. Der Zugriff war nicht nur zu weit definiert, sondern erlaubte statt Lesezugriff auch das Löschen und Überschreiben von Daten.
"Aufgrund mangelnder Überwachung und Kontrolle stellen SAS-Token ein Sicherheitsrisiko dar. Ihre Verwendung sollte so stark wie möglich eingeschränkt werden. Die Token sind sehr schwer zu verfolgen, da Microsoft keine zentrale Möglichkeit bietet, sie innerhalb des Azure-Portals zu verwalten", warnt Wiz im Blogbeitrag, in dem auch technische Details zu finden sind. Verschärft wird das Problem durch die immensen Datenmengen, die für KI-Trainings nötig sind und die Überwachung erschweren.
Das Security Response Center Team von Microsoft (MSRC) erklärte seinerseits, dass keine Kundendaten preisgegeben worden und auch keine anderen internen Dienste durch den Vorfall gefährdet seien. Die Lücke ist mittlerweile geschlossen. In der Mitteilung des Response-Teams heisst es, Kunden müssten keinerlei Massnahmen ergreifen.
Wiz meldete den Vorfall am 22. Juni 2023 an das MSRC, das daraufhin das SAS-Token widerrief, um externe Zugriffe auf das Azure-Speicherkonto zu blockieren. Seit dem 24. Juni soll das Problem entschärft sein, gestern wurde der Vorfall im Rahmen eines Coordinated Vulnerability Disclosure öffentlich kommuniziert.

Loading

Mehr erfahren

Mehr zum Thema

image

Zuger Krypto-Firma Lykke von Cyberangriff getroffen

Das Unternehmen hat den Handel über seine Plattform ausgesetzt. Bei einem Cyberangriff sind Assets im Wert von mehr als 22 Millionen Dollar gestohlen worden.

publiziert am 13.6.2024
image

Datenschützer gehen gegen Googles Privacy Sandbox vor

Mit der Sandbox will Google eine datenschutz­freundlichere Alternative zu Third-Party-Cookies bieten. Datenschützer sind nicht begeistert und haben eine Beschwerde eingereicht.

publiziert am 13.6.2024
image

IT-Problem in der Bundesverwaltung – Ursache ist wohl die Friedenskonferenz

Heute Donnerstag, 13. Juni 2024, kämpft die Bundesverwaltung mit IT-Problemen. Der Zoll stellte vorübergehend auf ein Notfallverfahren um.

publiziert am 13.6.2024
image

Parlament ist für polizeilichen Daten­aus­tausch zwischen Kantonen

Eine Gesetzesrevision soll die Abfrage polizeilicher Daten unter den Kantonen sowie zwischen Bund und Kantonen regeln. Das Vorhaben wird von Datenschützern kritisiert.

publiziert am 12.6.2024