Selon deux chercheurs en sécurité de chez l’éditeur Wiz, un employé de Microsoft spécialisé en intelligence artificielle (IA) a exposé accidentellement 38 To de données sensibles en commettant une erreur sur GitHub. Ont fuité : des clés privées, des mots de passe, plus de 30.000 messages Teams internes provenant de 359 employés de Microsoft ainsi que des données de sauvegarde de deux postes de travail.
Pour la petite histoire, Hillai Ben-Sasson et Ronny Greenberg de Wiz sont tombés sur un dépôt GitHub appartenant à l’équipe de recherche Microsoft AI qui fournit du code open-source et des modèles d’apprentissage automatique pour la reconnaissance d’images. Ce référentiel contenait une URL avec un jeton Shared Access Signature (SAS) mal configuré. Du fait des autorisations de contrôle total, l’équipe de Wiz a pu voir tout ce qui se trouvait sur le compte de stockage, avec la possibilité de supprimer ou modifier les fichiers.
La firme de Redmond a minimisé l’importance de cette bévue en déclarant qu’il s’agissait simplement de tirer les leçons de cette erreur : « Aucune donnée client n’a été exposée et aucun autre service interne n’a été mis en danger à cause de ce problème ».
D’après Wiz, les jetons SAS présentent un risque pour la sécurité car ils permettent de partager des informations avec des personnes non identifiées. Le jeton Microsoft impliqué dans l’incident était valide jusqu’en 2051.