Erro da Microsoft revela segredos internos através do GitHub
A Microsoft inadvertidamente expôs uma vasta quantidade de informações internas sensíveis, abrangendo mais de três anos, através de um repositório público no GitHub. Embora o repositório fosse destinado apenas a fornecer acesso a código aberto e modelos de IA para reconhecimento de imagem, a URL do Azure Storage estava configurada erroneamente para conceder permissões em toda a conta, conforme informado pelos pesquisadores.
Essa conta continha 38TB de dados adicionais, incluindo backups de computadores pessoais de funcionários da Microsoft. Estes backups continham dados pessoais sensíveis, como senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams. Além do acesso excessivamente permissivo, o token estava configurado para permitir permissões de “controle total” em vez de apenas leitura.
Isso significa que um invasor poderia não apenas visualizar todos os arquivos, mas também deletar e sobrescrever arquivos existentes. O problema parece ter origem no uso pela Microsoft de um token de Assinatura de Acesso Compartilhado (SAS) – uma URL assinada que concede aos usuários acesso aos dados do Azure Storage.
Fonte: BoletimSec
Publicado em: Cybersegurança