مایکروسافت به‌اشتباه دسترسی به ده‌ها ترابایت اطلاعات محرمانه خود را ممکن کرد

در تحقیقی که استارتاپ امنیت فضای ابری Wiz با رسانه تک‌کرانچ به اشتراک گذاشته است، این استارتاپ متوجه شده بود که یکی از مخازن متعلق به  بخش تحقیقات هوش مصنوعی مایکروسافت  در گیت‌هاب، به‌اشتباه حجم زیادی از داده‌های سازمانی این شرکت را لو داده.

در این حادثه، از مخاطبان این مخزن گیت‌هاب که محلی برای ارائه کدهای متن‌باز و مدل‌های هوش مصنوعی برای تشخیص تصویر بود، خواسته شده بود تا مدل‌ها را از یک URL در سرویس آژور دانلود کنند. اما Wiz می‌گوید این URL به‌اشتباه به‌گونه‌ای پیکربندی شده بود که دسترسی به تمام فضای ذخیره‌سازی سرور ازجمله اطلاعات خصوصی را فراهم می‌کرد.

38 ترابایت اطلاعات محرمانه مایکروسافت در معرض خطر بود

این داده‌ها شامل  38 ترابایت اطلاعات حساس  ازجمله بکاپ‌های کامپیوترهای شخصی دو کارمند مایکروسافت می‌شد. همچنین داده‌های دیگری نظیر رمزعبور سرویس‌های مایکروسافت، کلیدهای محرمانه و بیش از 30 هزار پیام درون‌سازمانی در مایکروسافت تیمز نیز در بین آن‌ها وجود داشت.

به گفته Wiz، این URL که  از سال 2020  این داده‌ها را افشا می‌کرد، به‌اشتباه طوری تنظیم شده بود که به‌جای دسترسی «فقط خواندنی»، دسترسی «کنترل کامل» را فراهم می‌کرد؛ یعنی هرکسی که می‌دانست باید چه کار کند، می‌توانست این محتواها را حذف و جایگزین کند یا محتواهای مخرب به آن‌ها اضافه نماید.

این استارتاپ می‌گوید یافته‌های خود را در تاریخ  1 تیرماه  با مایکروسافت به اشتراک گذاشت و آن‌ها دو روز بعد این دسترسی‌ها را مسدود کردند. غول سازنده ویندوز در ادامه اعلام کرد که در تاریخ 25 مردادماه تحقیقات خود را به‌منظور ارزیابی ریسک‌های احتمالی به پایان رسانده است.

مرکز واکنش امنیتی مایکروسافت پیش از انتشار گزارش تک‌کرانچ، در پستی که با این رسانه به اشتراک گذاشته شده، اعلام کرد که  هیچ  اطلاعاتی از مشتریان افشا نشده و هیچ سرویس درون‌سازمانی دیگری در معرض ریسک قرار نگرفته است.

مایکروسافت می‌گوید به‌دنبال این رخداد، دقت خود را بیشتر خواهد کرد تا بر تمام تغییرات کدهای متن‌باز عمومی از طرف سازمان خود نظارت کند و جلوی انتشار توکن‌هایی را که دارای دسترسی‌های نامتعارف هستند، بگیرد.