Das Bild zeigt ein Logo von Microsoft.
Sicherheitforscher von Wiz entdeckten das Datenleck, das von einem Microsoft-Mitarbeiter verursacht wurde.
AFP/GERARD JULIEN

Es gibt manchmal einfach Tage, an denen alles schiefläuft. Das dürfte sich jedenfalls auch jener Microsoft-Mitarbeiter denken, der versehentlich 38 Terabyte sensibler Daten auf GitHub veröffentlicht hat. Aufgrund einer Fehlkonfiguration für einen Link zum Teilen von Dateien waren nicht nur KI-Trainingsdaten auf GitHub zugänglich, sondern auch die Festplattenbackups von zwei Computern. Sie enthielten sensible Daten von Mitarbeitern.

Das Datenleck umfasste angeblich nicht nur private Schlüssel und Passwörter, sondern auch mehr als 30.000 Teams-Nachrichten aus Microsofts interner Kommunikation, wie "The Register" berichtet. Entdeckt wurde das Schlamassel von den Wiz-Sicherheitsforschern Hillai Ben-Sasson und Ronny Greenberg, die beim Scannen nach falsch konfigurierten Speichercontainern auf die offengelegten Daten gestoßen sind.

Falsch konfiguriert

In einem Blog-Beitrag hat das IT-Unternehmen dargelegt, dass sie auf die sensiblen Daten der Microsoft-Mitarbeiter gestoßen sind. Sie wurden in einem Github-Repository von Microsoft gefunden, das eigentlich für Open-Source-Code und KI-Modelle zur Bilderkennung gedacht war. Das Problem entstand durch einen fehlerhaft konfigurierten Freigabe-Link, einen sogenannten Azure-Shared-Access-Signature-(SAS-)Token, der unerwartet vollen Zugriff auf den gesamten Speicher-Account gewährte, statt nur auf die vorgesehenen Open-Source-Modelle.

SAS-Token sind signierte URLs, die den Zugriff auf gespeicherte Daten in Microsofts Azure Cloud ermöglichen. Diese Token sind vielseitig konfigurierbar, was zwar flexibel ist, aber auch Risiken birgt, wenn sie zu großzügig eingestellt werden. Im schlimmsten Fall können sie unbegrenzten Zugriff auf den gesamten Account bieten, ähnlich wie der Hauptkontoschlüssel selbst. Da diese Tokens auf Client-Seite generiert werden, haben Administratoren keine direkte Kontrolle darüber und können nicht leicht feststellen, wo diese Tokens verwendet werden.

Es gibt keine Standardmethode, diese Art von Freigabe-Links zu überwachen. Daher empfiehlt Wiz, SAS-Token genauso sorgfältig zu behandeln wie Kontoschlüssel und sie nicht für die externe Datenfreigabe zu verwenden. Stattdessen sollten speziellere Dienste mit zentral verwaltbaren Richtlinien verwendet werden, und IT-Teams sollten Werkzeuge einsetzen, die nach vertraulichen Daten suchen können, um potenzielle Datenlecks zu erkennen.

Zuletzt wurde im Zusammenhang mit Microsoft-Schlüsseln im Juli bekannt, dass chinesische Spione einen solchen gestohlen hatten und damit in die E-Mail-Konten der US-Regierung eingedrungen waren. Obwohl die interne Überprüfung von Microsoft zu dem Schluss kam, dass die jüngste Aufdeckung kein Risiko für die Kunden darstelle, ist der Vorfall eine deutliche Erinnerung daran, dass auch Tech-Giganten nicht vor potenziellen Problemen gefeit sind. Vor allem vor denen nicht, die vor dem Computer sitzen. (red, 19.9.2023)