Microsoft-Mitarbeiter stellt versehentlich 38 Terabyte interne Daten online

Schlüssel, Passwörter und über 30'000 Teams-Nachrichten: Eigentlich wollte Microsofts KI-Forscherteam nur Open-Source-Code und KI-Modelle teilen, gewährte aber versehentlich einen viel weitreichenderen Zugriff auf interne Daten von Mitarbeitenden.

19. September 2023

Ein Microsoft-Mitarbeiter aus dem KI-Team hat versehentlich über 38 Terabyte an Daten offen ins Netz gestellt. Darunter private Schlüssel, Passwörter und mehr als 30'000 Teams-Nachrichten von 359 Microsoft-Mitarbeitenden sowie die Festplatten-Back-ups von zwei Workstations, wie das IT-Security-Unternehmen Wiz in seinem Blog schreibt. Und das über drei Jahre hinweg. Denn entstanden sei das Datenleck bereits 2020.

Geplant war die Veröffentlichung der internen Daten selbstverständlich nicht. Eigentlich wollte der Mitarbeiter aus Microsofts KI-Abteilung in einem öffentlichen Github-Repository wohl nur Zugriff auf Open-Source-Code sowie KI-Modelle zur Bilderkennung gewähren. Dies sollte über das SAS Tokens-Feature beziehungsweise eine Azure Storage URL erfolgen. "Diese URL ermöglichte jedoch den Zugriff auf mehr als nur Open-Source-Modelle. Sie war so konfiguriert, dass sie Berechtigungen für das gesamte Speicherkonto erteilte, wodurch versehentlich weitere private Daten offengelegt wurden", schreibt Wiz.

Zudem war der Token so ausgelegt, dass er "volle Kontrolle" anstelle von Nur-Lese-Berechtigungen gewährte. Das bedeutet, dass ein Angreifer nicht nur alle Dateien im Speicherkonto einsehen, sondern auch bestehende Dateien löschen und überschreiben konnte, erklären die IT-Security-Spezialisten weiter.

WIZ hatte Microsoft Ende Juni über den Fund informiert, zwei Tage später erklärte das Unternehmen den Token für ungültig und reagierte jetzt mit einem eigenen Blog-Beitrag auf das Datenleck. In diesem räumen die Redmonder den Vorfall ein, erklären aber auch, dass keine Kundendaten preisgegeben wurden, und auch keine anderen internen Dienste gefährdet waren. Es seien daher keine Kundenmassnahmen erforderlich. "Unsere Untersuchung ergab, dass für die Kunden kein Risiko besteht."

Darüber hinaus erklärt Microsoft den Hintergrund des Vorfalls wie folgt: "SAS-Tokens bieten einen Mechanismus, um den Zugriff zu beschränken und bestimmten Clients eine Verbindung zu bestimmten Azure Storage-Ressourcen zu ermöglichen. In diesem Fall fügte ein Forscher bei Microsoft versehentlich dieses SAS-Token in eine Blob-Store-URL ein, während er zu Open-Source-KI-Lernmodellen beitrug und die URL in einem öffentlichen Github-Repository bereitstellte." Es habe also kein Sicherheitsproblem oder eine Schwachstelle innerhalb von Azure Storage oder der SAS-Token-Funktion gegeben. "Wie andere Geheimnisse sollten auch SAS-Tokens ordnungsgemäss erstellt und verwaltet werden." (sta)