 |
|
|
Según la compañía de seguridad Wiz, el equipo de IA de Microsoft expuso accidentalmente hasta 38 TB de datos sensibles de la empresa, a través de una filtración causada por un token Azure Shared Access Signature (SAS) mal configurado.
El equipo de investigación de IA de Microsoft subió a su repositorio de GitHub una URL con una configuración de acceso demasiado permisiva, descubrieron los expertos de Wiz, lo que permitía el acceso sin restricciones a datos privados.
La filtración incluyó copias de seguridad completas de dos dispositivos de empleados, revelando contraseñas de servicios de Microsoft, claves de cifrado privadas y más de 30.000 mensajes internos de Microsoft Teams. La URL dirigía a los usuarios a un contenedor de almacenamiento de Azure que estaba mal configurado, lo que permitía el acceso no autorizado a datos más sensibles.
Los investigadores usaron tokens SAS de Azure para compartir archivos, los que generalmente restringen el acceso no autorizado. Wiz descubrió, sin embargo, que la URL estaba configurada para permitir el acceso a toda la cuenta de Azure Storage, exponiendo 38 TB adicionales de datos privados.
El error inicial se produjo en julio de 2020 pero no se descubrió hasta junio de 2023, indicaron desde Wiz. Tras una investigación, Microsoft aseguró que no existían pruebas de que los datos de los clientes estuvieran expuestos y que ningún otro servicio interno se vio comprometido.
|
