Aggiornamenti recenti Aprile 2nd, 2025 10:39 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Corea del Nord: la minaccia cyber si espande in Europa grazie ai professionisti IT
- Le vulnerabilità dei tool RMM aprono nuove opportunità ai cybercriminali
- Una campagna di phishing usa il DNS-over-HTTPS per eludere i controlli
- CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti dello smishing a tema INPS
- SharePoint inondato dallo spam: la colpa è di un dominio Stream compromesso
Microsoft: una “gaffe” di sicurezza ha esposto 38TB di dati sensibili
I ricercatori di Wiz, compagnia di sicurezza per il cloud, hanno scoperto un repository GitHub della divisione Microsoft AI che permetteva di accedere a 38 TB di dati sensibili dei dipendenti.
La divisione di ricerca sull’IA aveva aggiornato il robust-models-transfer, un repository open-source di codice e modelli per il riconoscimento delle immagini. Il team aveva pubblicato un URL di Azure Storage dal quale scaricare modelli ImageNet, ma l’indirizzo garantiva anche l’accesso a un database di dati privati non solo della divisione, ma anche di altri dipendenti della compagnia.
Pixabay
I 38TB di dati contenevano i backup dei computer personali dei dipendenti, le loro password per i servizi Microsoft, chiavi private e più di 3000 messaggi Teams scambiati tra 359 collaboratori. L’URL non solo forniva l’accesso iniziale al database, ma anche i permessi per modificare i file.
Microsoft e i token SAS
Il problema è stato causato da una configurazione errata dei SAS (Shared Access Signature) token, URL firmati che definiscono l’accesso ai dati dello storage Azure. In fase di creazione di un token si possono definire il livello di accesso ai file (da read-only al controllo completo) e la data di scadenza dei permessi, creando anche URL senza scadenza.
Come se non bastasse, individuare questo tipo di errore non è semplice: i token vengono creati client-side usando la chiave dell’account e non su Azure, e il token stesso non fa parte degli oggetti Azure. L’evento di creazione di un token non viene registrato sulla piattaforma, quindi un amministratore non è in grado di monitorare la validità e l’uso del token.
Pixabay
Anche la fase di revoca è piuttosto complicata: è necessario ruotare la chiave dell’account che ha firmato il token, di fatto invalidando tutti gli altri token creati dallo stesso account.
L’URL condiviso nel repository doveva consentire l’accesso in lettura ai modelli, ma per un errore di configurazione garantiva invece il controllo totale su tutti i file e le cartelle e aveva come data di scadenza il 6 ottobre 2051.
Il team di Wiz ha notificato il problema a Microsoft il 22 giugno scorso e due giorni dopo la compagnia ha invalidato il token. Microsoft ha analizzato l’impatto dell’errore e ha specificato che le uniche informazioni esposte sul web sono state quelle di due ex dipendenti, mentre i dati di clienti e servizi sono rimasti al sicuro.
L’azienda ha ricordato ai propri clienti di prestare la massima attenzione durante la creazione dei token, generando SAS con permessi minimi e scadenza ridotta, preferibilmente di un’ora al massimo.
Condividi l'articolo
Earth Lusca torna all'attacco con una nuova backdoor
Il cybercrimine organizza competizioni per sviluppare nuovi metodi d'attacco
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management... -
Mimecast: con l’AI una nuova era per la Data Loss... Ogni nuova tecnologia porta con sé nuovi rischi. Nel caso... -
Penetration testing, una volta ogni tanto non basta più:... Il processo di penetration testing è ormai una pratica... -
Il ransomware Medusa ha colpito oltre 300 infrastrutture... Il bilancio delle vittime del ransomware Medusa è...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività...
-
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and...
-
Una campagna di phishing usa il DNS-over-HTTPS per eludere... I ricercatori di Infoblox hanno scoperto una nuova campagna... -
CERT-AGID 22-28 marzo: in vendita sul darkweb i documenti... Nel corso dell’ultima settimana, il CERT-AGID ha rilevato... -
SharePoint inondato dallo spam: la colpa è di un dominio... Un vecchio dominio di Microsoft Stream è stato compromesso...
Ransomware: la serie
No posts found.
