Microsoft, Temmuz 2020’den bu yıl düzeltilene kadar aşırı izin veren bir paylaşılan erişim imzasının (SAS) GitHub’daki şirket verilerini açığa çıkardığını açıkladı.
Hata, Wiz Research tarafından keşfedildi ve bu açığa çıkmanın, açık kaynaklı yapay zeka kodunu ve görüntü tanıma modellerini paylaşmak için kullanılan bir Microsoft GitHub deposuyla ilgili olduğunu açıkladı.
Birisi, kullanıcılara modellere indirme erişimi vermek için bir URL oluşturdu ve hata da burada yapıldı: “Bu, depolama hesabının tamamına izin verecek ve yanlışlıkla ek özel verileri açığa çıkaracak şekilde yapılandırıldı.”
Wiz, URL’nin “sırlar, özel anahtarlar, şifreler ve 30.000’den fazla Microsoft Teams mesajı” dahil olmak üzere 38 TB veriye erişim sağladığını söyledi.
Bir blog yazısında Microsoft, hiçbir müşteri verisinin ifşa edilmediğini vurguladı.
Microsoft, “SAS belirteçleri erişimi kısıtlamak ve belirli istemcilerin belirli Azure Depolama kaynaklarına bağlanmasına izin vermek için bir mekanizma sağlıyor” diye açıkladı.
“Bu durumda, Microsoft’taki bir araştırmacı, açık kaynaklı AI öğrenme modellerine katkıda bulunurken yanlışlıkla bu SAS belirtecini bir blob deposu URL’sine ekledi ve URL’yi genel GitHub deposunda sağladı.”
Microsoft, bunun bir yapılandırma hatası olduğundan herhangi bir Azure güvenlik açığının söz konusu olmadığını söyledi.
“Diğer sırlar gibi SAS tokenleri de düzgün şekilde oluşturulmalı ve yönetilmelidir. Ayrıca, SAS token özelliğini daha da güçlendirmek için sürekli iyileştirmeler yapıyoruz ve varsayılan olarak güvenli duruşumuzu desteklemek için hizmeti değerlendirmeye devam ediyoruz” dedi satıcı.
Ancak Microsoft’un araştırması sırasında tespit ettiği bir GitHub tarama sorunu vardı.
Microsoft, GitHub’ın gizli tarama hizmetini aşırı izin veren SAS belirteçlerini içerecek şekilde genişletti: “Bu sistem, ‘sağlam modeller aktarımı’ deposunda Wiz tarafından tanımlanan belirli SAS URL’sini tespit etti, ancak bulgu hatalı bir şekilde yanlış pozitif olarak işaretlendi”.
Microsoft, bu sorunun da ele alındığını söyledi.
Wiz Research, sorunu 22 Temmuz 2023’te Microsoft’a bildirdi ve Microsoft, 23 Temmuz’da belirteci iptal ettiğini ve depolama hesabına tüm harici erişimi engellediğini söyledi.