Microsoft offenbart versehentlich interne Daten
In regelmäßigen Abständen macht die KI-Forschungsabteilung von Microsoft seine Trainingsdaten unter Open-Source-Lizenz auf GitHub öffentlich. Wie Sicherheitsforscher aufgefallen war, kam es im Rahmen dieser Veröffentlichung jüngst zu einem Fehler, der wohl auf unvorsichtige Microsoft-Mitarbeiter zurückzuführen ist. Wie WizResearch schreibt, hatte Microsoft in den Daten auch ein Disk-Backup offengelegt, das vertrauliche Daten, private Schlüssel, Passwörter und über 30.000 interne Microsoft Teams-Nachrichten enthielt. Die Daten waren nicht direkt Teil des Github-Speichers, vielmehr hatten Microsoft-Mitarbeiter ihre SAS-Tokens (Shared Access Signature) der Azure Storage-Konten unter den Daten "vergessen".Die Sicherheitsforscher hatten Microsoft am 22. Juni über ihre Entdeckung informiert und damit eine interne Untersuchung ausgelöst. Wie Microsoft jüngst mitteilt, habe diese Überprüfung ergeben, dass keinen Kundendaten offengelegt wurden. Ferner habe man auch keine Hinweise auf Gefahren für interne Dienste erkennen können. Der Zugang, der über die Tokens möglich war, wurde bereit am 24. Juni geschlossen.
GitHub reagiert
Eigentlich hat Microsoft einen Mechanismus in GitHub integriert, der durch Scans von eingereichtem Open-Source-Code die Offenlegung von Anmeldedaten und anderen Geheimnissen im Klartext verhindern soll. Wie der Konzern mitteilt, hat man diese Erkennung jetzt auf alle SAS-Token ausgeweitet, "die möglicherweise übermäßig zulässige Ablaufzeiten oder Berechtigungen aufweisen".Zu guter Letzt nimmt man den Vorfall zum Anlass, um alle öffentlichen Repositorys in Microsoft-eigenen oder angeschlossenen Organisationen und Konten auf die mögliche Offenlegung weiterer SAS-Tokens hin zu untersuchen.
Zusammenfassung
- Microsoft-Forscher veröffentlichen versehentlich 38 TB Daten auf GitHub.
- Vertrauliche Daten, Schlüssel und Passwörter wurden offengelegt.
- Über 30.000 interne Teams-Nachrichten ebenfalls veröffentlicht.
- Sicherheitsforscher lösen interne Untersuchung aus.
- Keine Kundendaten laut Microsoft offengelegt.
- Fehler am 24. Juni behoben, Tokens-Zugang geschlossen.
- Microsoft verstärkt Sicherheitsmaßnahmen und prüft Repositorys.
Siehe auch
Microsoft entwickelt Streaming-Dienst für PC-Spiele aus der Cloud
Schock bei Microsoft: Windows- & Surface-Chef Panos Panay geht
Microsoft: China desinformiert mit KI-Fake-Fotos und Russen-TaktikMehr anzeigen 
Microsoft stoppt offenbar P2P-Win32-Dienste unter Windows 11 und 12
Windows 11 22H2: Microsoft startet neues Konfigurations-Update
Microsoft entwickelt Streaming-Dienst für PC-Spiele aus der CloudSchock bei Microsoft: Windows- & Surface-Chef Panos Panay gehtMicrosoft: China desinformiert mit KI-Fake-Fotos und Russen-TaktikMehr anzeigen Microsoft stoppt offenbar P2P-Win32-Dienste unter Windows 11 und 12Windows 11 22H2: Microsoft startet neues Konfigurations-Update