Microsoft: una violazione del “token SAS” in Azure Storage rivela dati sensibili di dipendenti, sottolineando i rischi nella gestione delle piattaforme open source.
La sicurezza informatica è diventata uno dei pilastri fondamentali dell’era digitale, ma persino le aziende tecnologiche più grandi e affermate come Microsoft non sono esenti da fallimenti. L’ultimo episodio che ha messo in luce questa vulnerabilità riguarda l’esposizione accidentale di dati interni sensibili da parte di Microsoft su uno dei suoi repository Github.
La falla è stata identificata dai ricercatori di cybersicurezza di Wiz.io, che hanno riportato l’incidente accaduto nel repository di Microsoft dedicato alla formazione sull’intelligenza artificiale. Questo spazio è destinato alla pubblicazione di dati open source per facilitare il lavoro degli sviluppatori con gli strumenti dell’azienda. Ma, come si è scoperto, attraverso una breccia nella funzione “token SAS” di Azure Storage, sono state rivelate informazioni personali, password e backup dei dischi dei dipendenti di Microsoft.
Il cuore del problema risiede nel modo in cui sono stati gestiti i token SAS (Shared Access Signature) in Azure Storage. Questa funzione consente di creare link con accesso a dati specifici ospitati sulle istanze di Azure Storage, personalizzando il livello di accesso. Tuttavia, il link in questione era impostato per fornire l’accesso all’intera istanza di storage, rendendo visibili i dati sensibili. L’entità della falla è resa ancora più evidente dal fatto che gli account esposti contenevano ben 38 TB di dati.
I dati in questione non erano di poco conto: informazioni personali, chiavi segrete, password di accesso ai servizi interni e una mole considerevole di comunicazioni tra i dipendenti. Un dettaglio ancora più preoccupante era la configurazione dell’accesso, che non solo consentiva la visualizzazione dei file, ma anche la loro modifica, cancellazione e sostituzione. Questa mancanza di sicurezza avrebbe potuto causare danni irreparabili a Microsoft, permettendo ad eventuali malintenzionati di sfruttare questa vulnerabilità.
Il periodo di esposizione non è stato breve: i dati sono rimasti accessibili dal 2020 al 2023. Microsoft ha riconosciuto l’errore e ha prontamente disattivato il token problematico, sostituendolo con un indirizzo sicuro dalle autorizzazioni più limitate. Tuttavia, l’incidente serve come monito per l’industria tecnologica nel suo complesso.
L’uso di token SAS, pur essendo un elemento cruciale per molte operazioni su piattaforme cloud come Azure, è estremamente delicato. La gestione e il tracciamento di questi token, soprattutto in ambienti open source, possono essere complessi e richiedono un’attenzione costante e meticolosa.