Wyciek prywatnych danych z serwera Microsoftu. Terabajty informacji w publicznej chmurze
Repozytorium Microsoft udostępnia użytkownikom modele uczenia się sztucznej inteligencji typu open source. Instrukcja kierowała użytkowników zainteresowanych pobraniem modeli do adresu URL dla usługi Azure. Wiz odkrył, że przez błędną konfigurację, link Azure udzielał pomyłkowo dostępu do niepublicznych, wewnętrznych zasobów firmy, odsłaniając terabajty prywatnych danych.
Dane zawierały hasła do usług Microsoft, tajne klucze i ponad 30 tys. wewnętrznych wiadomości Microsoft Teams od setek pracowników firmy. Wiz natychmiast po odkryciu powiadomił centrum reagowania Microsoft. Po kilku miesięcznym śledztwie, firma uspokaja klientów w oficjalnym komunikacie, że wyciek to pomyłka ludzka i precedens, który nie powinien mieć miejsca.
- Dane ujawnione na tym koncie magazynu obejmowały kopie zapasowe profili stacji roboczych dwóch byłych pracowników oraz wewnętrzne wiadomości Microsoft Teams tych dwóch pracowników ze współpracownikami. Z powodu tego problemu nie zostały ujawnione żadne dane klientów, a żadne inne usługi wewnętrzne nie były zagrożone - czytamy w komunikacie firmy.
Opanowanie i dyskrecja Microsoft zaskakują. Co prawda usterka nie naraziła danych newralgicznych klientów, ale po raz kolejny wystawia zaufanie klientów na próbę.
Niespełna cztery lata temu z bazy centrum obsługi klienta Microsoftu wyciekły dane osobiste 250 mln użytkowników dostępne w chmurze Azure. Firma krytykowana jest ponadto za „niską przejrzystość” i „toksyczne zaciemnianie” faktycznego stanu rzeczy w zakresie wewnętrznych standardów z zakresu cyberbezpieczeństwa.
Platforma chmurowa Azure to flagowy produkt Microsoft w modelu PaaS (platforma jako usługa), który szczyci się wysokim bezpieczeństwem i ochroną danych. Oficjalne firma podaje, że z zasobów Azure korzysta około 95 proc. przedsiębiorstw z listy Fortune 500.