Des chercheurs en IA de Microsoft exposent-ils accidentellement 38 téraoctets de données confidentielles ?

Microsoft a déclaré lundi avoir pris des mesures pour corriger une faille de sécurité flagrante qui a conduit à l’exposition de 38 téraoctets de données privées.

La fuite a été découverte sur le dépôt AI GitHub de l’entreprise et aurait été rendue publique par inadvertance lors de la publication d’un ensemble de données d’entraînement open-source, a déclaré Wiz. Il s’agissait également d’un disque de sauvegarde des postes de travail de deux anciens employés contenant des secrets, des clés, des mots de passe et plus de 30 000 messages internes de Teams.

Le dépôt, nommé « robust-models-transfer », n’est plus accessible. Avant d’être supprimé, il contenait le code source et les modèles d’apprentissage automatique d’un document de recherche de 2020 intitulé « Do Adversarially Robust ImageNet Models Transfer Better ? » (Les modèles ImageNet robustes à l’inverse se transfèrent mieux).

« L’exposition est le résultat d’un jeton SAS trop permissif – une fonction d’Azure qui permet aux utilisateurs de partager des données d’une manière qui est à la fois difficile à suivre et difficile à révoquer », a déclaré Wiz dans un rapport. Le problème a été signalé à Microsoft le 22 juin 2023.

Plus précisément, le fichier README.md du référentiel demandait aux développeurs de télécharger les modèles à partir d’une URL Azure Storage qui donnait accidentellement accès à l’ensemble du compte de stockage, exposant ainsi des données privées supplémentaires.

« En plus de la portée d’accès trop permissive, le jeton était également mal configuré pour permettre des autorisations de « contrôle total » au lieu de lecture seule », ont déclaré les chercheurs Hillai Ben-Sasson et Ronny Greenberg de Wiz. « Cela signifie qu’un attaquant pouvait non seulement voir tous les fichiers du compte de stockage, mais aussi supprimer et écraser des fichiers existants.

En réponse à ces conclusions, Microsoft a déclaré que son enquête n’avait trouvé aucune preuve d’exposition non autorisée des données des clients et qu' »aucun autre service interne n’a été mis en danger à cause de ce problème ». L’entreprise a également souligné que les clients n’avaient aucune mesure à prendre.

Le fabricant de Windows a également indiqué qu’il avait révoqué le jeton SAS et bloqué tout accès externe au compte de stockage. Le problème a été résolu deux jours après la divulgation de la responsabilité.

Pour limiter ces risques à l’avenir, l’entreprise a étendu son service d’analyse des secrets afin d’inclure tout jeton SAS susceptible d’avoir des expirations ou des privilèges trop permissifs. Elle a également identifié un bogue dans son système de balayage qui signalait l’URL SAS spécifique dans le référentiel comme un faux positif.

« En raison du manque de sécurité et de gouvernance des jetons SAS de compte, ceux-ci doivent être considérés comme aussi sensibles que la clé de compte elle-même », ont déclaré les chercheurs. Les erreurs de création de jetons peuvent facilement passer inaperçues et exposer des données sensibles. »

Gardez une longueur d’avance grâce à des informations exploitables sur la manière dont ITDR identifie et atténue les menaces.Découvrez le rôle indispensable de SSPM pour garantir que votre identité reste inviolable.

Ce n’est pas la première fois que des comptes de stockage Azure mal configurés ont été mis en lumière.

En juillet 2022, JUMPSEC Labs a mis en évidence

un scénario dans lequel un acteur de la menace pourrait tirer parti de ces comptes
(pour accéder)(à) un environnement sur site d’une entreprise.

Ce développement est (la) dernière bavure en matière de sécurité chez Microsoft, (et intervient) près de deux semaines après (la société a révélé) : [que des pirates basés en Chine ont pu] (s’infiltrer) (dans les systèmes de l’entreprise)(,) (et voler) (une clé de signature très sensible en compromettant) (le compte d’entreprise d’un ingénieur) (et en accédant probablement à) (un crash dump) (du) (système de signature du consommateur).

« L’IA libère un énorme potentiel pour les entreprises technologiques. (Cependant,) ([as]) [les scientifiques des données] (et les ingénieurs font la course) [pour apporter de nouvelles solutions d’IA] (à la production), ([l]es quantités massives) [de données qu’ils traitent nécessitent des contrôles de sécurité supplémentaires] (et des garanties) », (Wiz CTO) (et cofondateur Ami Luttwak) [a déclaré] (dans un communiqué).

« ([Avec de nombreuses équipes de développement ayant besoin]) [(t)]de manipuler des quantités massives [de données], [de les partager avec leurs pairs], [ou de collaborer] [sur des projets publics à code source ouvert], des cas comme celui de Microsoft sont de plus en plus difficiles [(t)]à surveiller [(et à éviter.)] »

Internet est un endroit effrayant. Il existe des pirates informatiques et des cybercriminels qui ne demandent qu’à profiter des victimes sans méfiance. C’est pourquoi il est important de se tenir au courant des dernières nouvelles, idées et conseils en matière de cybersécurité. Ici, à Security Boulevard, nous faisons de notre mieux pour vous fournir votre dose quotidienne d’informations, d’idées et de conseils en matière de cybersécurité.

Chez Security Boulevard, nous faisons de notre mieux pour vous fournir votre dose quotidienne d’actualités, d’idées et de conseils en matière de cybersécurité. Nous savons que plus vous en savez sur la cybersécurité, mieux vous serez équipé pour vous protéger en ligne.