Microsoft lỡ tay để lộ tới 38TB dữ liệu nhạy cảm trong suốt 3 năm trời

Thứ Sáu 29/09/2023
ICO - Trương Duy Khang

Có vẻ như một nhân viên nào đó đã chọn sai tùy chỉnh nên mới xảy ra cớ sự này các bạn ạ.

Công ty dù lớn cách mấy cũng không thể tránh khỏi những sai lầm, và trường hợp mới đây nhất là có 1 thành viên trong đội nghiên cứu AI của Microsoft đã sơ ý để lộ 38TB dữ liệu nhạy cảm của nội bộ sau khi chỉnh sai đường link.

Wiz – một công ty chuyên về bảo mật đám mây – có chia sẻ trong bài blog của họ rằng họ đã tìm thấy 1 cái “kho” (repository) trên GitHub thuộc quyền sở hữu của đội ngũ nghiên cứu AI của Microsoft, và bên trong đó chứa mã nguồn mở lẫn các mô hình AI phục vụ cho việc nhận diện hình ảnh. Do có nhân viên nào đó thiết lập nhầm nên những người khác có thể vào xem thoải mái, trong đó có dữ liệu về 2 bản sao lưu (backup) PC hoàn chỉnh thuộc quyền sở hữu của nhân viên Microsoft. Theo Wiz, dữ liệu bao gồm những thông tin cá nhân nhạy cảm, ví dụ như là mật khẩu để truy cập các dịch vụ của Microsoft, mã khóa bí mật, và hơn 30.000 đoạn tin nhắn nội bộ của Microsoft Teams từ 359 nhân viên Microsoft.

Thêm vào đó, những tập tin này cũng không phải là loại read-only, và nó có thể bị ghi đè lên hoặc bị xóa như thường. Thật ra mà nói, những dữ liệu này không hoàn toàn nằm giữa thanh thiên bạch nhật.

Việc truy cập vào kho dữ liệu này phải thông qua tính năng chia sẻ của Azure gọi là SAS token (thực chất nó là 1 đường link có thể chia sẻ được), chỉ có điều là lần này cho phép bạn có toàn quyền truy cập thôi. Bất kỳ ai có đường link này đều có thể truy cập những dữ liệu ở trên.

Tệ hơn nữa là những dữ liệu này đều đã bị lộ từ hồi 2020 rồi. Microsoft biết về vụ này hồi tháng 6/2023, nghĩa là dữ liệu đã nằm trước bàn dân thiên hạ trong suốt 3 năm qua. Microsoft có đăng 1 bài blog cho biết không có dữ liệu khách hàng nào bị lộ cả, và những dịch vụ nội bộ khác cũng không bị ảnh hưởng gì.

Tóm tắt ý chính:

1 thành viên trong đội nghiên cứu AI của Microsoft đã sơ ý để lộ 38TB dữ liệu nhạy cảm của nội bộ vì thiết lập nhầm đường link
Mớ dữ liệu này nằm trong 1 cái “kho” trên GitHub thuộc quyền sở hữu của đội ngũ nghiên cứu AI của Microsoft
Bên trong chứa mã nguồn mở, các mô hình AI phục vụ cho việc nhận diện hình ảnh, mã khóa bí mật, đoạn tin nhắn nội bộ Microsoft Teams,…
Những dữ liệu này còn có thể bị người khác ghi đè lên hoặc bị xóa như thường
Những dữ liệu này đều đã bị lộ từ hồi 2020, và phải đến tháng 6/2023 thì Microsoft mới biết vụ này
Microsoft nói rằng không có dữ liệu khách hàng nào bị lộ cả

Nguồn: PC Gamer - Oops, Microsoft left 38TB of sensitive data exposed for 3 years including internal Teams chats

Tags: