La vulnérabilité corrigée par Microsoft exposait des clés privées, des mots de passe et plus de 30 000 messages internes de Microsoft Teams via un lien sur GitHub.
C’est une belle bourde découverte par WIZ et révélé dans un récent rapport. La startup spécialisée dans la cybersécurité cloud a révélé qu’un dépôt public de Microsoft dédié à l’IA sur GitHub avait donné accès à 38 To de données privées de l’entreprise pendant trois ans. « La sauvegarde comprend des secrets, des clés privées, des mots de passe et plus de 30 000 messages internes de Microsoft Teams. », détaille Wiz dans son rapport.
Un niveau d’accès excessif
Des chercheurs de Microsoft avaient en fait partagé leurs fichiers en utilisant une fonctionnalité Azure appelée jetons SAS, permettant de partager des données à partir de comptes Azure Storage. Problème : le niveau d'accès était excessivement permissif et configuré pour partager des modèles d’intelligences artificielle open source mais aussi les 38 To de fichiers privés.
Au-delà de l’erreur de configuration, c’est aussi l’IA qui pose ici question selon Wiz. Alors que les datascientists et les ingénieurs utilisent d’énormes quantités de données pour entraîner leurs modèles d’IA, la startup invite à renforcer les contrôles et moyens de sécurité. Microsoft a indiqué de son côté avoir corrigé l’incident et qu’aucune donnée client n’a été exposée ni aucun autre service interne.
Deux leaks qui se suivent
Ce nouveau couac survient peu de temps après une autre boulette signée Microsoft. Engagé dans une procédure contre la Federal Trade Commission (FTC), le gendarme de la concurrence américain, qui tente de faire capoter le projet de rachat d’Activision Blizzard, Microsoft a accidentellement téléchargé des documents confidentiels sur les serveurs du tribunal du district nord de Californie. Non expurgés, les fichiers ont révélé notamment les projets de consoles de la firme, une nouvelle manette, les prochaines sorties jeux vidéos et de nombreux échanges de mail, entre autres. Les données ont été effacées par la suite, mais ont déjà largement fuité sur internet.