Hoy, Investigación Wiz reveló que el repositorio AI GitHub de Microsoft filtró 38 TB de datos internos de la empresa. El equipo de investigación de inteligencia artificial de Microsoft publicó datos de capacitación de código abierto en GitHub. Junto con los datos de entrenamiento, expusieron accidentalmente 38 terabytes de datos privados adicionales que incluyen copias de seguridad en disco de un par de empleados de Microsoft. La copia de seguridad del disco contenía secretos, claves privadas, contraseñas y más de 30.000 mensajes internos de Microsoft Teams.
Microsoft Azure Storage permite a los clientes compartir sus datos con otras personas mediante tokens SAS (Firma de acceso compartido). Sin embargo, no proporciona ninguna forma de administrar los tokens SAS fácilmente y son difíciles de rastrear. Microsoft Researcher publicó accidentalmente el token SAS para su cuenta de Azure Storage, lo que provocó esta gran filtración. Se recomienda encarecidamente evitar el uso de tokens SAS para compartirlos externamente, ya que pueden pasar desapercibidos fácilmente y exponer datos confidenciales.
Wiz Research informó este problema a MSRC el 22 de junio de 2023 y Microsoft invalidó el token SAS dos días después. En agosto, Microsoft completó la investigación interna sobre el posible impacto. Según la investigación de Microsoft, no se expusieron datos de clientes y ningún otro servicio interno se puso en riesgo debido a este problema. Además, no es necesaria ninguna acción del cliente en respuesta a este problema.
El servicio de escaneo secreto de GitHub puede monitorear todos los cambios públicos en el código fuente abierto para detectar la exposición de credenciales y otros secretos en texto sin formato. Sin embargo, este servicio marca las URL de SAS de Azure Storage que apuntan a contenido confidencial, como VHD y claves criptográficas privadas. Después de este problema, Microsoft ha expandido Esta detección incluirá cualquier token SAS que pueda tener vencimientos o privilegios demasiado permisivos. Microsoft también está realizando nuevos análisis históricos completos de todos los repositorios públicos en organizaciones y cuentas de propiedad o afiliadas de Microsoft para evitar problemas similares.
