Порядка 38 ТБ данных учетных записей работников американской корпорации Microsoft оказались в открытом доступе из-за ошибки в ссылке, опубликованной для разработчиков программного обеспечения GitHub. Об этом во вторник, 19 сентября, сообщил журнал Techrepublic со ссылкой на компанию Wiz, предоставляющую услуги в области компьютерной безопасности.
Общая ссылка с данными, основанная на токенах системы статистического анализа Azure, была обнаружена 22 июня. Разработчики обратились в Центр реагирования безопасности Microsoft, который, в свою очередь, к 24 июня аннулировал токен и заменил его, загрузив на интернет-платформе GitHub.
Отмечается, что утечка возникла в процессе исследования корпорацией искусственного интеллекта. В результате ошибки пользователи смогли получить доступ к резервным копиям учетных записей сотрудников компании, в частности пароли и секретные ключи для доступа к внутренним сервисам, а также свыше 30 тыс. сообщений в мессенджере Microsoft Teams.
Как отметили IT-специалисты, используемые токены не имеют срока действия, поэтому их обычно не рекомендуется использовать для обмена важными данными извне. В блоге Microsoft по безопасности от 7 сентября отмечалось, что злоумышленники могут воссоздать их, чтобы сохранить действительные учетные данные.Реагируя на эту ситуацию, Wiz порекомендовала организациям предостеречь сотрудников от чрезмерного раскрытия данных и призвала их руководителей обеспечить надлежащие меры безопасности.
Кроме того, Wiz подтвердила, что никакие данные клиентов не были раскрыты и никакие другие внутренние службы не оказались под угрозой.
Комментарии