Microsoft AI의 부서 연구원들은 GitHub에 오픈 소스 AI 교육 자료 업데이트를 게시하는 동안 실수로 회사의 개인 데이터 38TB를 유출했습니다.
2020년 7월부터 발생한 유출은 3년 뒤 클라우드 보안업체 위즈(Wiz) 연구진에 의해 발견됐다.
Microsoft AI 팀이 실수로 38TB의 회사 데이터를 노출했습니다.
Wiz에 따르면 노출된 데이터에는 두 직원의 워크스테이션에 대한 디스크 백업이 포함되어 있었습니다. 디스크 백업에는 회사 비밀, 개인 키, 암호 및 359명의 Microsoft 직원이 보낸 30,000개 이상의 내부 Microsoft Teams 메시지가 포함되어 있습니다.
Wiz의 연구원들은 잘못 구성된 스토리지 컨테이너에 대한 지속적인 인터넷 검색 중에 이 문제를 발견했습니다.
“우리는 Microsoft 조직에서 GitHub 저장소를 찾았습니다. 강력한 모델 전송. 해당 리포지토리는 마이크로소프트의 AI 연구 부서에 속해 있으며 이미지 인식을 위한 오픈 소스 코드와 AI 모델을 제공하는 것이 목적이다”라고 말했다. 설명했다 블로그 게시물에서.
GitHub 리포지토리 독자는 Azure Storage URL에서 모델을 다운로드하라는 지시를 받았습니다. 파일을 공유하는 동안 Microsoft는 SAS(공유 액세스 서명) 토큰이라는 Azure 기능을 사용했습니다. 이를 통해 Azure Storage 계정에서 공유 파일을 완벽하게 제어할 수 있습니다.
액세스 수준은 특정 파일로만 제한될 수 있지만 AI 부서 연구원들은 또 다른 38TB의 개인 파일을 포함하여 전체 스토리지 계정을 공유하도록 구성된 링크를 실수로 공유하여 데이터가 유출되었습니다.
과도하게 허용되는 액세스 범위 외에도 토큰은 읽기 전용 대신 “전체 제어” 권한을 허용하도록 잘못 구성되었습니다. 이는 공격자가 스토리지 계정의 모든 파일을 볼 수 있을 뿐만 아니라 기존 파일을 삭제하고 덮어쓸 수도 있음을 의미합니다.
Wiz는 2023년 6월 22일 MSRC(Microsoft 보안 대응 센터)에 이 사건을 보고했으며, 이로 인해 2023년 6월 24일 SAS 토큰이 무효화되어 Azure 스토리지 계정에 대한 모든 외부 액세스가 차단되었습니다.
Microsoft는 2023년 8월 16일에 잠재적인 조직 영향에 대한 조사를 완료하고 2023년 9월 18일 월요일에 사건을 공개했습니다.
권고에서 출판됨 월요일 MSRC 팀은 “이 문제로 인해 고객 데이터가 노출되지 않았으며 다른 내부 서비스도 위험에 처하지 않았습니다. 이에 대한 근본 원인 문제가 해결되었으며, 이제 시스템이 초과 프로비저닝된 모든 SAS 토큰을 감지하고 올바르게 보고하는 것으로 확인되었습니다.
이어 “이 문제에 대응하기 위해 고객의 조치가 필요하지 않습니다. 조사 결과 이러한 노출로 인해 고객에게 위험이 발생하지 않는 것으로 결론지었습니다.”