محققان امنیتی مایکروسافت ظاهراً بهصورت اتفاقی دهها ترابایت از دادههای حساس خود ازجمله کلیدهای خصوصی و رمزهای عبور سازمانشان را روی گیتهاب افشا کرده بودند.
در تحقیقی که استارتاپ امنیت فضای ابری Wiz با رسانه تککرانچ به اشتراک گذاشته است، این استارتاپ متوجه شده بود که یکی از مخازن متعلق به بخش تحقیقات هوش مصنوعی مایکروسافت در گیتهاب، بهاشتباه حجم زیادی از دادههای سازمانی این شرکت را لو داده.
در این حادثه، از مخاطبان این مخزن گیتهاب که محلی برای ارائه کدهای متنباز و مدلهای هوش مصنوعی برای تشخیص تصویر بود، خواسته شده بود تا مدلها را از یک URL در سرویس آژور دانلود کنند. اما Wiz میگوید این URL بهاشتباه بهگونهای پیکربندی شده بود که دسترسی به تمام فضای ذخیرهسازی سرور ازجمله اطلاعات خصوصی را فراهم میکرد.
این دادهها شامل 38 ترابایت اطلاعات حساس ازجمله بکاپهای کامپیوترهای شخصی دو کارمند مایکروسافت میشد. همچنین دادههای دیگری نظیر رمزعبور سرویسهای مایکروسافت، کلیدهای محرمانه و بیش از 30 هزار پیام درونسازمانی در مایکروسافت تیمز نیز در بین آنها وجود داشت.
به گفته Wiz، این URL که از سال 2020 این دادهها را افشا میکرد، بهاشتباه طوری تنظیم شده بود که بهجای دسترسی «فقط خواندنی»، دسترسی «کنترل کامل» را فراهم میکرد؛ یعنی هرکسی که میدانست باید چه کار کند، میتوانست این محتواها را حذف و جایگزین کند یا محتواهای مخرب به آنها اضافه نماید.
این استارتاپ میگوید یافتههای خود را در تاریخ 1 تیرماه با مایکروسافت به اشتراک گذاشت و آنها دو روز بعد این دسترسیها را مسدود کردند. غول سازنده ویندوز در ادامه اعلام کرد که در تاریخ 25 مردادماه تحقیقات خود را بهمنظور ارزیابی ریسکهای احتمالی به پایان رسانده است.
مرکز واکنش امنیتی مایکروسافت پیش از انتشار گزارش تککرانچ، در پستی که با این رسانه به اشتراک گذاشته شده، اعلام کرد که هیچ اطلاعاتی از مشتریان افشا نشده و هیچ سرویس درونسازمانی دیگری در معرض ریسک قرار نگرفته است.
مایکروسافت میگوید بهدنبال این رخداد، دقت خود را بیشتر خواهد کرد تا بر تمام تغییرات کدهای متنباز عمومی از طرف سازمان خود نظارت کند و جلوی انتشار توکنهایی را که دارای دسترسیهای نامتعارف هستند، بگیرد.