مایکروسافت به‌اشتباه دسترسی به ده‌ها ترابایت اطلاعات محرمانه خود را ممکن کرده بود

دیجیاتو دوشنبه 27 شهریور 1402 - 18:00
اشتباه مهلک محققان مایکروسافت بستر دسترسی به ده‌ها ترابایت اطلاعات محرمانه را فراهم کرده بود. The post مایکروسافت به‌اشتباه دسترسی به ده‌ها ترابایت اطلاعات محرمانه خود را ممکن کرده بود appeared first on دیجیاتو.

محققان امنیتی مایکروسافت ظاهراً به‌صورت اتفاقی ده‌ها ترابایت از داده‌های حساس خود ازجمله کلیدهای خصوصی و رمزهای عبور سازمانشان را روی گیت‌هاب افشا کرده بودند.

در تحقیقی که استارتاپ امنیت فضای ابری Wiz با رسانه تک‌کرانچ به اشتراک گذاشته است، این استارتاپ متوجه شده بود که یکی از مخازن متعلق به بخش تحقیقات هوش مصنوعی مایکروسافت در گیت‌هاب، به‌اشتباه حجم زیادی از داده‌های سازمانی این شرکت را لو داده.

در این حادثه، از مخاطبان این مخزن گیت‌هاب که محلی برای ارائه کدهای متن‌باز و مدل‌های هوش مصنوعی برای تشخیص تصویر بود، خواسته شده بود تا مدل‌ها را از یک URL در سرویس آژور دانلود کنند. اما Wiz می‌گوید این URL به‌اشتباه به‌گونه‌ای پیکربندی شده بود که دسترسی به تمام فضای ذخیره‌سازی سرور ازجمله اطلاعات خصوصی را فراهم می‌کرد.

38 ترابایت اطلاعات محرمانه مایکروسافت در معرض خطر بود

این داده‌ها شامل 38 ترابایت اطلاعات حساس ازجمله بکاپ‌های کامپیوترهای شخصی دو کارمند مایکروسافت می‌شد. همچنین داده‌های دیگری نظیر رمزعبور سرویس‌های مایکروسافت، کلیدهای محرمانه و بیش از 30 هزار پیام درون‌سازمانی در مایکروسافت تیمز نیز در بین آن‌ها وجود داشت.

به گفته Wiz، این URL که از سال 2020 این داده‌ها را افشا می‌کرد، به‌اشتباه طوری تنظیم شده بود که به‌جای دسترسی «فقط خواندنی»، دسترسی «کنترل کامل» را فراهم می‌کرد؛ یعنی هرکسی که می‌دانست باید چه کار کند، می‌توانست این محتواها را حذف و جایگزین کند یا محتواهای مخرب به آن‌ها اضافه نماید.

این استارتاپ می‌گوید یافته‌های خود را در تاریخ 1 تیرماه با مایکروسافت به اشتراک گذاشت و آن‌ها دو روز بعد این دسترسی‌ها را مسدود کردند. غول سازنده ویندوز در ادامه اعلام کرد که در تاریخ 25 مردادماه تحقیقات خود را به‌منظور ارزیابی ریسک‌های احتمالی به پایان رسانده است.

مرکز واکنش امنیتی مایکروسافت پیش از انتشار گزارش تک‌کرانچ، در پستی که با این رسانه به اشتراک گذاشته شده، اعلام کرد که هیچ اطلاعاتی از مشتریان افشا نشده و هیچ سرویس درون‌سازمانی دیگری در معرض ریسک قرار نگرفته است.

مایکروسافت می‌گوید به‌دنبال این رخداد، دقت خود را بیشتر خواهد کرد تا بر تمام تغییرات کدهای متن‌باز عمومی از طرف سازمان خود نظارت کند و جلوی انتشار توکن‌هایی را که دارای دسترسی‌های نامتعارف هستند، بگیرد.

منبع خبر "دیجیاتو" است و موتور جستجوگر خبر تیترآنلاین در قبال محتوای آن هیچ مسئولیتی ندارد. (ادامه)
با استناد به ماده ۷۴ قانون تجارت الکترونیک مصوب ۱۳۸۲/۱۰/۱۷ مجلس شورای اسلامی و با عنایت به اینکه سایت تیترآنلاین مصداق بستر مبادلات الکترونیکی متنی، صوتی و تصویری است، مسئولیت نقض حقوق تصریح شده مولفان از قبیل تکثیر، اجرا و توزیع و یا هرگونه محتوای خلاف قوانین کشور ایران بر عهده منبع خبر و کاربران است.