Les chercheurs en sécurité ont aussi leurs routines, dont celle de scanner Internet à la recherche de mauvaises configurations systèmes pouvant exposer des données. Lors d'une recherche concernant celles liées aux containers de stockage, l'équipe de Wiz est tombée sur une pépite, un répertoire GitHub exposé sur le web appartenant à la division de recherche en intelligence artificielle de Microsoft ayant pour objet de fournir du code source et des modèles d'IA pour de la reconnaissance d'images.
« Notre analyse montre que ce compte contenait 38 To de données supplémentaires, notamment des sauvegardes d'ordinateurs personnels d'employés de Microsoft. Ces sauvegardes contenaient des données personnelles sensibles, notamment des mots de passe pour les services Microsoft, des clés secrètes et plus de 30 000 messages internes Microsoft Teams de 359 employés de Microsoft » explique Wiz. « Cependant, il est important de noter que ce compte de stockage n'était pas directement exposé au public ; il s'agissait en fait d'un compte de stockage privé. Les développeurs de Microsoft ont utilisé un mécanisme Azure appelé SAS tokens, qui permet de créer un lien partageable donnant accès aux données d'un compte de stockage Azure - alors qu'à l'inspection, le compte de stockage semble toujours totalement privé ».
Pas de données clients exposées, des recommandations à suivre
Le répertoire GitHub hébergé sur un compte Azure Storage accessible via un lien partagé créé via SAS tokens aurait pu constituer une mine d'or pour des pirates. Wiz a prévenu Microsoft de sa découverte le 22 juin 2023 qui a dans la foulée (le 24) invalidé l'accès au lien avant d'en générer un autre le 7 juillet. Après avoir mené une enquête approfondie d'impact potentiel le 16 août, la divulgation de cet incident a finalement été faite ce 18 septembre. « Aucune donnée client n'a été exposée et aucun autre service interne n'a été mis en danger à cause de ce problème. Aucune action de la part des clients n'est requise en réponse à ce problème », a précisé la firme de Redmond.
Microsoft a tiré plusieurs enseignements de cette affaire en émettant différentes recommandations. En particulier en s'assurant d'appliquer le principe de moindre privilège, d'utiliser des liens partagés SAS d'une validité d'une heure maximum, de prévoir un plan de révocation de tokens, et de surveiller et d'auditer son compte de stockage.