کمیته رکن چهارم – محققان امنیتی مایکروسافت ظاهراً بهصورت اتفاقی دهها ترابایت از دادههای حساس خود ازجمله کلیدهای خصوصی و رمزهای عبور سازمانشان را روی گیتهاب افشا کرده بودند.
در تحقیقی که استارتاپ امنیت فضای ابری Wiz با رسانه تککرانچ به اشتراک گذاشته است، این استارتاپ متوجه شده بود که یکی از مخازن متعلق به بخش تحقیقات هوش مصنوعی مایکروسافت در گیتهاب، بهاشتباه حجم زیادی از دادههای سازمانی این شرکت را لو داده.
در این حادثه، از مخاطبان این مخزن گیتهاب که محلی برای ارائه کدهای متنباز و مدلهای هوش مصنوعی برای تشخیص تصویر بود، خواسته شده بود تا مدلها را از یک URL در سرویس آژور دانلود کنند. اما Wiz میگوید این URL بهاشتباه بهگونهای پیکربندی شده بود که دسترسی به تمام فضای ذخیرهسازی سرور ازجمله اطلاعات خصوصی را فراهم میکرد.
۳۸ ترابایت اطلاعات محرمانه مایکروسافت در معرض خطر بود
این دادهها شامل ۳۸ ترابایت اطلاعات حساس ازجمله بکاپهای کامپیوترهای شخصی دو کارمند مایکروسافت میشد. همچنین دادههای دیگری نظیر رمزعبور سرویسهای مایکروسافت، کلیدهای محرمانه و بیش از ۳۰ هزار پیام درونسازمانی در مایکروسافت تیمز نیز در بین آنها وجود داشت.
به گفته Wiz، این URL که از سال ۲۰۲۰ این دادهها را افشا میکرد، بهاشتباه طوری تنظیم شده بود که بهجای دسترسی «فقط خواندنی»، دسترسی «کنترل کامل» را فراهم میکرد؛ یعنی هرکسی که میدانست باید چه کار کند، میتوانست این محتواها را حذف و جایگزین کند یا محتواهای مخرب به آنها اضافه نماید.
این استارتاپ میگوید یافتههای خود را در تاریخ ۱ تیرماه با مایکروسافت به اشتراک گذاشت و آنها دو روز بعد این دسترسیها را مسدود کردند. غول سازنده ویندوز در ادامه اعلام کرد که در تاریخ ۲۵ مردادماه تحقیقات خود را بهمنظور ارزیابی ریسکهای احتمالی به پایان رسانده است.
مرکز واکنش امنیتی مایکروسافت پیش از انتشار گزارش تککرانچ، در پستی که با این رسانه به اشتراک گذاشته شده، اعلام کرد که هیچ اطلاعاتی از مشتریان افشا نشده و هیچ سرویس درونسازمانی دیگری در معرض ریسک قرار نگرفته است.
مایکروسافت میگوید بهدنبال این رخداد، دقت خود را بیشتر خواهد کرد تا بر تمام تغییرات کدهای متنباز عمومی
منبع : دیجیاتو
