Lo que necesitas saber
- En medio de todas las filtraciones de Microsoft de hoy, también se descubrió que el equipo de investigación de inteligencia artificial de Microsoft había filtrado por error 38 TB de datos privados de la compañía.
- Los datos filtrados incluían copias de seguridad de las computadoras de los empleados de Microsoft.
- Los datos almacenados en las computadoras incluían contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Teams de más de 350 empleados de la empresa.
- Desde entonces, Microsoft emitió un comunicado indicando que los datos de los clientes no se vieron comprometidos, ni tampoco sus servicios internos.
- Wiz, una empresa de ciberseguridad, redujo la causa raíz de la filtración a una característica de Azure denominada tokens de firma de acceso compartido (SAS), que otorgaba a los usuarios acceso ilimitado a los recursos de Azure Storage.
Microsoft debe estar divirtiéndose después de lo que se puede denominar la «mayor filtración en la historia de Xbox». La filtración aportó detalles sobre una consola Xbox serie X renovada Con el nombre en código ‘Brooklin’, tiene un diseño cilíndrico y se espera que salga a la venta a finales de este año en noviembre.
Y ahora, el equipo de investigación de inteligencia artificial de Microsoft también filtró por error 38 TB de datos de empresas privadas. Según Wiz, una empresa de ciberseguridad, los datos también incluían un enlace con copias de seguridad de las computadoras de los empleados de Microsoft. Los datos almacenados en las computadoras contenían contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Teams de más de 350 empleados de la empresa.
Microsoft rápidamente emitió un comunicado mientras habla con TechCrunch, asegurando a los clientes preocupados que sus datos no estaban en riesgo. La empresa también indicó que los servicios internos tampoco se vieron afectados.
Según el informe, el equipo de investigación de IA cargó los datos de entrenamiento que contienen datos confidenciales, incluido el código fuente abierto y modelos de IA para el reconocimiento de imágenes. Como tal, los usuarios que encontraron el repositorio de GitHub pudieron acceder al enlace de Azure, lo que les permitió descargar los modelos.
Y aunque Microsoft aseguró a los clientes que sus datos permanecían intactos y que ningún servicio interno se vio afectado, el enlace proporcionó a los usuarios acceso completo a la cuenta de almacenamiento de Azure. Por extraño que parezca, los usuarios con acceso podrían alterar los datos almacenados en la cuenta, incluida la carga, sobrescritura e incluso la eliminación de archivos existentes.
La empresa de ciberseguridad redujo el problema a una característica de Azure, los tokens de firma de acceso compartido (SAS). Básicamente, la característica es una URL que otorga derechos de acceso restringido a los recursos de Azure Storage. Si bien es posible configurar la función para limitar el acceso a archivos específicos, este enlace proporciona a los usuarios acceso ilimitado.
Wiz marcó e informó el problema a Microsoft el 22 de junio de 2023, y la compañía respondió rápidamente al problema y revocó el token SAS el 23 de junio de 2023. Microsoft citó además reescaneos en sus repositorios públicos, pero sus sistemas marcaron el vínculo que causó el problema como un falso positivo.
Remedios para el futuro
El peligro potencial que podrían causar tales filtraciones si caen en las manos equivocadas es inimaginable. Afortunadamente, en este caso, el problema se detectó y se solucionó rápidamente.
Desde entonces, Microsoft ha publicado una lista completa que destaca mejores prácticas para manejar tokens SAS. También es evidente que los usuarios deben tener cuidado al utilizar la función y también asegurarse de que se establezcan restricciones para evitar la replicación de dicha instancia en el futuro, lo que podría causar mucho daño.