لو رفتن 38 ترابایت داده از سرویس مایکروسافت آژور

به گزارش کارگروه امنیت خبرگزاری سایبربان، تقریباً سه سال بعد، این مورد توسط شرکت امنیت ابری ویز (Wiz) کشف شد که محققان امنیتی آن دریافتند که یکی از کارمندان مایکروسافت به طور ناخواسته، یو آر ال (URL) یک سبد ذخیره‌سازی آژور بلاب (Azure Blob) با پیکربندی نادرست حاوی اطلاعات فاش شده را به اشتراک گذاشته است.

مایکروسافت لو رفتن داده ها را به استفاده از یک توکن کاملا مجاز امضای دسترسی مشترک (Shared Access Signature (SAS)) مرتبط کرد که امکان کنترل کامل بر فایل های مشترک را فراهم می کرد.

این ویژگی آژور (Azure)، به اشتراک گذاری داده ها را به روشی که توسط محققان ویز به عنوان چالشی برای نظارت و لغو توصیف شده است، امکان پذیر می کند.

هنگامی که این ویژگی به درستی استفاده می شود، نشانه های امضای دسترسی مشترک (SAS) وسیله ای امن برای اعطای دسترسی به منابع در حساب ذخیره سازی شما ارائه می دهند.

این موضوع شامل کنترل دقیق بر روی دسترسی به داده های مشتری، مشخص کردن منابعی که آنها می توانند با داده ها تعامل داشته باشند، مجوزهای آنها در مورد این منابع و تعیین مدت اعتبار نشانه امضای دسترسی مشترک می باشد.

ویز امروز هشدار داد:

به دلیل فقدان نظارت و حاکمیت، توکن‌های امضای دسترسی مشترک یک خطر امنیتی ایجاد می‌کنند و استفاده از آنها باید تا حد امکان محدود شود. ردیابی این توکن‌ها بسیار سخت است، زیرا مایکروسافت روش متمرکزی برای مدیریت آنها در پورتال آژور ارائه نمی‌کند. علاوه بر این، این توکن ها را می توان به گونه ای پیکربندی کرد که بدون هیچ محدودیتی در زمان انقضای آنها، به طور موثر و برای همیشه باقی بمانند. بنابراین، استفاده از توکن های اکانت امضای دسترسی مشترک برای اشتراک گذاری خارجی، ناامن بوده و باید از آنها اجتناب شود.

تیم تحقیقاتی ویز دریافت که علاوه بر مدل‌های منبع باز، حساب ذخیره‌سازی داخلی نیز سهوا اجازه دسترسی به داده‌های خصوصی اضافی به میزان 38 ترابایت را می‌دهد.

داده‌های افشا شده شامل پشتیبان‌گیری از اطلاعات شخصی کارکنان مایکروسافت، از جمله گذرواژه‌های سرویس‌های مایکروسافت، کلیدهای مخفی، و آرشیو بیش از 30 هزار پیام داخلی تیم مایکروسافت است که مربوط به 359 کارمند مایکروسافت می شد.

در توصیه نامه ارائه شده روز دوشنبه تیم مرکز پاسخگویی امنیتی مایکروسافت (MSRC)، گفته شده است که هیچ اطلاعات مشتری در معرض خطر قرار نگرفت و هیچ سرویس داخلی دیگری به دلیل این حادثه با خطر مواجه نشده است.

ویز این حادثه را در تاریخ 22 ژوئن 2023 به تیم مرکز پاسخگویی امنیتی مایکروسافت گزارش داد تا توکن امضای دسترسی مشترک را لغو کند تا در نتیجه تمام دسترسی های خارجی به حساب ذخیره سازی آژور مسدود شود و مشکل در 24 ژوئن 2023 تا حدودی حل شود.

آمی لوتواک، مدیر ارشد فناوری ویز، به وبسایت بلیپینگ کامپیوتر (BleepingComputer) گفت:

هوش مصنوعی پتانسیل عظیمی را برای شرکت‌های فناوری فراهم می‌کند. با این حال، از آنجایی که دانشمندان و مهندسان داده برای رساندن راه‌حل‌های جدید هوش مصنوعی به مرحله عملی رقابت می‌کنند، حجم عظیمی از داده‌هایی که آنها مدیریت می‌کنند نیاز به بررسی‌های امنیتی و پادمان‌های بیشتری دارد. این فناوری در حال ظهور به مجموعه‌های بزرگی از داده‌ها برای آموزش نیاز دارد. با توجه به اینکه بسیاری از تیم‌های توسعه نیاز به دستکاری حجم عظیمی از داده‌ها، به اشتراک‌گذاری آن‌ها با همتایان خود یا همکاری در پروژه‌های منبع باز عمومی دارند، در مواردی مانند مایکروسافت به طور فزاینده‌ای فرایند نظارت و اجتناب از آن سخت می‌شود.

وبسایت بلیپینگ کامپیوتر همچنین یک سال پیش گزارش داد که در سپتامبر 2022، شرکت اطلاعاتی تهدید اس او سی رادار (SOCRadar) یک سبد ذخیره‌سازی آژور بلاب با پیکربندی اشتباه دیگر متعلق به مایکروسافت را مشاهده کرده که حاوی داده‌های حساس ذخیره‌شده در فایل‌های مربوط به سال‌های 2017 تا آگوست 2022 و مرتبط با بیش از 65 هزار نهاد از 111 کشور بوده است.

اس او سی رادار همچنین یک پورتال جستجوی نشت داده به نام بلوبلید (BlueBleed) ایجاد کرد که شرکت‌ها را قادر می ساخت تا دریابند که آیا داده‌های حساس آن‌ها به صورت آنلاین افشا شده است یا خیر.

مایکروسافت بعداً اضافه کرد که معتقد است اس او سی رادار، در این حوزه و در زمینه آمار و ارقام، بسیار اغراق آمیز عمل کرده است.