A Microsoft acidentalmente permitiu que dados internos sensíveis ficassem expostos ao público em um de seus repositórios no Github. De acordo com um artigo divulgado por pesquisadores de segurança cibernética da Wiz.io nesta segunda-feira (18), o material incluía informações pessoais, senhas e backups de disco de seus funcionários.

O incidente ocorreu no repositório de treinamento de inteligência artificial da Microsoft, onde a big tech publica dados de código aberto para que desenvolvedores possam trabalhar com suas ferramentas, através de uma brecha de segurança em um recurso chamado de “SAS tokens” do Azure Storage. Entenda os detalhes a seguir.

A divisão de inteligência artificial da empresa possui um repositório chamado de “robust-models-transfer” no Github. Esse banco de dados oferece códigos livres e modelos de inteligência artificial para reconhecimento de imagens, que podiam ser baixados através de um link para os servidores do Azure Storage.

O link em questão é criado a partir de tokens do Shared Access Signature (SAS), um recurso da plataforma de nuvem da empresa que permite conceder acesso a dados específicos hospedados em instâncias do Azure Storage. O nível de acesso pode ser personalizado pelo usuário que está criando o endereço.

O problema é que o endereço do link era configurado para conceder permissões em toda a instância de armazenamento onde estava o modelo de inteligência artificial que seria baixado, expondo dados privados de funcionários por engano. Segundo o Wiz.io, as contas expostas armazenavam um total de 38 TB de dados.

O conteúdo exposto incluía dados pessoais de funcionários, senhas para acesso de serviços internos, chaves secretas e mais de 30 mil mensagens trocadas entre 359 funcionários da Microsoft. Outro erro da empresa foi configurar o escopo de acesso incorretamente para fornecer permissões de “controle total” em vez de somente leitura.

Isso significa que invasores poderiam exibir todos os arquivos na conta de armazenamento, mas também pode excluir e substituir arquivos existentes, o que poderia ter causado prejuízos inestimáveis para a Microsoft, uma vez que as bibliotecas hospedadas são capazes de interpretar código, portanto, um hacker poderia explorar essa brecha.

Os dados permaneceram expostos entre 2020 e 2023. O primeiro token que a Microsoft comprometeu com seu repositório foi adicionado em 20 de julho de 2020 e permaneceu válido até 5 de outubro de 2021. Um segundo token foi adicionado posteriormente ao GitHub, com data de expiração definida para 6 de outubro de 2051.

A empresa já desativou o token problemático e substituiu por um endereço seguro com permissões limitadas, mas o incidente ressalta a importância da segurança ao lidar com plataformas de código aberto utilizando os tokens do SAS que, segundo os especialistas, são extremamente difíceis de gerenciar e rastrear.