38 Terabyte an internen Microsoft-Daten öffentlich auf Github verfügbar. Der Fehler fiel erst drei Jahre später durch externe Sicherheitsforscher auf.
Das KI-Forschungsteam von Microsoft hat unbeabsichtigt einen großen Cache privater Daten auf der Softwareentwicklungsplattform GitHub offengelegt, hat das Sicherheitsunternehmen Wiz herausgestellt. Drei Jahre lagen dort unverschlüsselt und unbemerkt 38 Terabyte an internen Daten.
Ein Team des Cloud-Sicherheitsunternehmens Wiz entdeckte die Offenlegung von in der Cloud gehosteten Daten auf der KI-Trainingsplattform über einen falsch konfigurierten Link schon im vergangenen Juni. Nach Angaben von Wiz wurden die Daten von Microsofts Forschungsteam bei der Veröffentlichung von Open-Source-Trainingsdaten auf GitHub weitergegeben.
Die Nutzer des Repository wurden dazu aufgefordert, KI-Modelle von einer Cloud-Speicher-URL herunterzuladen. Die URL war jedoch falsch konfiguriert, um Berechtigungen für das gesamte Speicherkonto zu gewähren. Demnach sei versehentlich ein SAS-Token (Shared Access Signature) verfügbar gemacht worden. Dabei handelt es sich um eine signierte URL, die Zugriffe auf Daten von Azure-Storage-Konten gewährt. „Die Zugriffsebene kann vom Benutzer angepasst werden; die Berechtigungen reichen von schreibgeschützt bis zur vollständigen Kontrolle, während der Umfang entweder eine einzelne Datei, ein Container oder ein ganzes Speicherkonto sein kann“, so die Sicherheitsforscher. Dadurch werden dem Nutzer auch volle Kontrollrechte übergeben, im Gegensatz zu reinen Leserechten, was bedeutet, dass sie bestehende Dateien löschen und überschreiben konnten, schreiben die Sicherheitsforscher von Wiz in einem Blogeintrag. Zu den offengelegten Daten gehörten die persönlichen Computer-Backups von Microsoft-Mitarbeitern, die Passwörter für Microsoft-Dienste, geheime Schlüssel und mehr als 30.000 interne Microsoft Teams-Nachrichten von 359 Microsoft-Mitarbeitern enthielten, so Wiz.
Die offene Weitergabe von Daten ist eine Schlüsselkomponente des KI-Trainings, aber die Weitergabe größerer Datenmengen setzt Unternehmen einem größeren Risiko aus, wenn sie falsch weitergegeben werden, so die Forscher. Wiz teilte die Daten im Juni mit Microsoft, das daraufhin umgehend die exponierten Daten entfernte, sagte Ami Luttwak, Chief Technology Officer und Mitbegründer von Wiz, der hinzufügte, dass der Vorfall „schlimmer hätte sein können“.
Keine Kundendaten offengelegt
Auf Nachfrage sagte ein Microsoft-Sprecher: „Wir haben bestätigt, dass keine Kundendaten offengelegt wurden und dass keine anderen internen Dienste gefährdet waren.“
In einem am Montag veröffentlichten Blogbeitrag erklärte Microsoft, dass es einen Vorfall untersucht und behoben hat, in den ein Microsoft-Mitarbeiter verwickelt war, der in einem öffentlichen GitHub-Repository eine URL für Open-Source-KI-Lernmodelle freigegeben hatte. Microsoft sagte, dass die Daten, die in dem Speicherkonto offengelegt wurden, Backups der Arbeitsplatzprofile zweier ehemaliger Mitarbeiter und interne Microsoft Teams-Nachrichten dieser beiden Mitarbeiter mit ihren Kollegen enthielten.
Der Datencache wurde vom Wiz-Forschungsteam gefunden, das das Internet nach falsch konfigurierten Speichercontainern durchsucht. Dies ist Teil seiner laufenden Arbeit zur versehentlichen Offenlegung von in der Cloud gehosteten Daten, heißt es im Blog. Wiz-Forscher betonen, dass dieses Beispiel zeige, wie unsicher der Einsatz von SAS-Token für die externe Freigabe sind und aus diesem Grund vermieden werden sollten. Hinzu komme, dass es keine zentrale Verwaltungsmöglichkeit gebe und nur schwer verfolgbar seien. (Bloomberg/bagre)