مایکروسافت به‌اشتباه دسترسی به ده‌ها ترابایت اطلاعات محرمانه خود را ممکن کرده بود

یک خطای مرگبار توسط محققان مایکروسافت امکان دسترسی به ده ها ترابایت اطلاعات محرمانه را فراهم کرده بود.

به گزارش خبرکو به نقل از دیجیاتو در تحقیقاتی که استارت‌آپ امنیت ابری Wiz با رسانه TechCrunch به اشتراک گذاشت، این استارت‌آپ متوجه شد که یکی از مخازن متعلق به بخش تحقیقات هوش مصنوعی مایکروسافت در GitHub به طور تصادفی مقدار زیادی از داده‌های سازمانی شرکت را افشا کرده است.

در این حادثه از مخاطبان این مخزن گیت هاب، مکانی برای ارائه مدل های منبع باز و هوش مصنوعی برای تشخیص تصویر، خواسته شد تا مدل ها را از یک آدرس اینترنتی در سرویس Azure دانلود کنند. اما Wiz می‌گوید که URL برای دسترسی به کل فضای ذخیره‌سازی سرور، از جمله اطلاعات شخصی، اشتباه پیکربندی شده است.

۳۸ ترابایت از اطلاعات محرمانه مایکروسافت در خطر بود
این داده ها شامل ۳۸ ترابایت اطلاعات حساس از جمله نسخه های پشتیبان از رایانه های شخصی دو کارمند مایکروسافت بود. همچنین داده های دیگری مانند رمزهای عبور خدمات مایکروسافت، کلیدهای مخفی و بیش از ۳۰۰۰۰ پیام داخلی تیم مایکروسافت وجود داشت.
به گفته Wiz، URL که این داده‌های ۲۰۲۰ را نشان می‌دهد، به اشتباه به‌جای دسترسی «فقط خواندنی»، دسترسی «کنترل کامل» را اعطا کرده است. یعنی هر کسی که می داند چه کاری باید انجام دهد می تواند این محتوا را حذف و جایگزین کند یا محتوای مخرب را به آن اضافه کند.

این استارت‌آپ می‌گوید یافته‌های خود را در اول جولای با مایکروسافت به اشتراک گذاشته است و آنها دو روز بعد دسترسی را مسدود کردند. غول تولید کننده ویندوز همچنین اعلام کرد که در ۲۵ آگوست مطالعات خود را برای ارزیابی خطرات احتمالی تکمیل کرده است.

مرکز پاسخگویی امنیتی مایکروسافت، در پستی که قبل از انتشار این گزارش با TechCrunch به اشتراک گذاشته شد، اعلام کرد که هیچ اطلاعات مشتری در معرض خطر قرار نگرفته و هیچ سرویس داخلی دیگری در معرض خطر نیست.

مایکروسافت می گوید که در پی این حادثه، هوشیاری خود را برای نظارت بر همه تغییرات منبع باز عمومی از طرف سازمان خود افزایش می دهد و از انتشار توکن هایی که دسترسی غیرمعمول دارند، جلوگیری می کند.