עובד חשף בטעות 38 טרה-בייט של מידע רגיש מגיטהאב

הנה (עוד) מקרה חמור של דליפת מידע שלא במתכוון, שהאחראי לו הוא גורם פנימי: עובד במיקרוסופט הביא, בטעות, לדליפה של יותר מ-38 טרה-בייט של נתונים רגישים מגיטהאב, שנמצאת בבעלותה – לרבות גיבויים. בין היתר, נחשפו בעקבות המקרה סודות מסחריים של החברה, מפתחות הצפנה פרטיים, סיסמאות ומעל 30 אלף מסרים שעובדיה החליפו ביניהם בטימס.

המקרה נחשף על ידי החוקר הילאי בן ששון מחברת הסייבר הישראלית וויז. הוא אירע כשהעובד פרסם כתובת URL ובה "דלי" של נתונים בקוד פתוח, שאוחסנו על גבי שתי תחנות עבודה שלו. אותו "דלי" נועד למטרת אימון של מודל בינה מלאכותית של מיקרוסופט. עם זאת, בפוסט שבו פרסמה וויז את המקרה צוין ש-"כתובת ה-URL הזאת אפשרה גישה ליותר מרק מודלי קוד פתוח. הוא הוגדר על מנת לתת גישה לכל (בעלי הגישה ל… – י"ה) חשבון האחסון, מה שחשף, בטעות, את המידע הפרטי".

"בנוסף למתן הגישה הרחבה מדי", נכתב, "הטוקן הוגדר בטעות גם למתן 'שליטה מלאה' (לבעלי הגישה – י"ה), במקום ל-'קריאה בלבד'. כך, כל האקר לא רק יכול היה לראות את כלל הקבצים שנמצאים בחשבון האחסון, אלא גם למחוק אותם ולכתוב אותם מחדש".

ניסיון לגמד את האירוע

מיקרוסופט אישרה את הפרטים, ומסרה כי מדובר בגיבויים פרטיים של שני עובדים לשעבר בגיטהאב. וויז הודיעה לה על המקרה ב-22 ביוני השנה, ויומיים לאחר מכן היא סגרה את הפרצה.

יש לציין שמיקרוסופט ניסתה לגמד במשהו את האירוע, וטענה כי הוא יכול ללמד איך למנוע מקרים כאלה בארגונים אחרים. בנוסף, מהענקית מרדמונד נמסר כי חקירה שהיא ניהלה מצאה שלא נחשף כל מידע רגיש של לקוחותיה, וכי שירותים אחרים שלה, פרט לגיטהאב, לא עמדו בסכנה. כך או כך, מיקרוסופט הבטיחה להשתפר להבא, על מנת לנסות למנוע מקרים נוספים מעין זה.

טוקן SAS הוא כתובת URL שמאפשרת גישה, ברמה שהמשתמש יכול לקבוע, לקבצים שמאוחסנים על הענן של מיקרוסופט, Azure. במקרה זה, כאמור, הגישה אפשרה למשתמשים, בטעות, שליטה מלאה" במקום "קריאה בלבד".