Microsoft-Mitarbeiter stellt versehentlich 38 Terabyte interne Daten online
Quelle: Depositphotos

Microsoft-Mitarbeiter stellt versehentlich 38 Terabyte interne Daten online

Schlüssel, Passwörter und über 30'000 Teams-Nachrichten: Eigentlich wollte Microsofts KI-Forscherteam nur Open-Source-Code und KI-Modelle teilen, gewährte aber versehentlich einen viel weitreichenderen Zugriff auf interne Daten von Mitarbeitenden.
19. September 2023

     

Ein Microsoft-Mitarbeiter aus dem KI-Team hat versehentlich über 38 Terabyte an Daten offen ins Netz gestellt. Darunter private Schlüssel, Passwörter und mehr als 30'000 Teams-Nachrichten von 359 Microsoft-Mitarbeitenden sowie die Festplatten-Back-ups von zwei Workstations, wie das IT-Security-Unternehmen Wiz in seinem Blog schreibt. Und das über drei Jahre hinweg. Denn entstanden sei das Datenleck bereits 2020.


Geplant war die Veröffentlichung der internen Daten selbstverständlich nicht. Eigentlich wollte der Mitarbeiter aus Microsofts KI-Abteilung in einem öffentlichen Github-Repository wohl nur Zugriff auf Open-Source-Code sowie KI-Modelle zur Bilderkennung gewähren. Dies sollte über das SAS Tokens-Feature beziehungsweise eine Azure Storage URL erfolgen. "Diese URL ermöglichte jedoch den Zugriff auf mehr als nur Open-Source-Modelle. Sie war so konfiguriert, dass sie Berechtigungen für das gesamte Speicherkonto erteilte, wodurch versehentlich weitere private Daten offengelegt wurden", schreibt Wiz.
Zudem war der Token so ausgelegt, dass er "volle Kontrolle" anstelle von Nur-Lese-Berechtigungen gewährte. Das bedeutet, dass ein Angreifer nicht nur alle Dateien im Speicherkonto einsehen, sondern auch bestehende Dateien löschen und überschreiben konnte, erklären die IT-Security-Spezialisten weiter.

WIZ hatte Microsoft Ende Juni über den Fund informiert, zwei Tage später erklärte das Unternehmen den Token für ungültig und reagierte jetzt mit einem eigenen Blog-Beitrag auf das Datenleck. In diesem räumen die Redmonder den Vorfall ein, erklären aber auch, dass keine Kundendaten preisgegeben wurden, und auch keine anderen internen Dienste gefährdet waren. Es seien daher keine Kundenmassnahmen erforderlich. "Unsere Untersuchung ergab, dass für die Kunden kein Risiko besteht."


Darüber hinaus erklärt Microsoft den Hintergrund des Vorfalls wie folgt: "SAS-Tokens bieten einen Mechanismus, um den Zugriff zu beschränken und bestimmten Clients eine Verbindung zu bestimmten Azure Storage-Ressourcen zu ermöglichen. In diesem Fall fügte ein Forscher bei Microsoft versehentlich dieses SAS-Token in eine Blob-Store-URL ein, während er zu Open-Source-KI-Lernmodellen beitrug und die URL in einem öffentlichen Github-Repository bereitstellte." Es habe also kein Sicherheitsproblem oder eine Schwachstelle innerhalb von Azure Storage oder der SAS-Token-Funktion gegeben. "Wie andere Geheimnisse sollten auch SAS-Tokens ordnungsgemäss erstellt und verwaltet werden." (sta)


Weitere Artikel zum Thema

Microsoft stellt Peer-to-Peer-Services im 32-Bit-Modus ein

19. September 2023 - Im System32-Ordner der neuesten Canary Builds von Windows 11 fehlen zwölf DLLs, die für P2P-Protokolle und -Dienste zuständig waren. Sie werden in der Folge wohl auch in Windows 11 23H2 und Windows 12 nicht mehr verfügbar sein.

Edge 117 behebt Bugs und erleichtert BYOD

18. September 2023 - Mit der neuen Version 117 von Edge räumt Microsoft verschiedene Sicherheitslücken der Chromium Engine aus und bringt neue Features vor allem für den geschäftlichen Einsatz.

Azure OpenAI Service jetzt aus Schweizer Datacenter verfügbar

18. September 2023 - Microsoft bietet seinen Azure-OpenAI-Dienst jetzt auch aus der Cloud-Region Switzerland North an. Kunden sollen so rasch KI-basierte Anwendungen bauen können, die den Datenschutz gewährleisten und regulatorisch konform arbeiten.


Artikel kommentieren
Kommentare werden vor der Freischaltung durch die Redaktion geprüft.

Anti-Spam-Frage: Vor wem mussten die sieben Geisslein aufpassen?
GOLD SPONSOREN
SPONSOREN & PARTNER