بعد أن أسقطت شركة Wiz للأمن السحابي يوم الاثنين تقريرًا مفاجئًا يوضح بالتفصيل تسربًا داخليًا لـ Microsoft يبلغ حجمه 38 تيرابايت، ربما يتساءل قادة الأعمال عن كيفية تأثير الخطأ الفادح على عملياتهم السحابية.
وفقًا لـ Wiz، تضمنت البيانات المتأثرة نسخًا احتياطية كاملة من أجهزة الكمبيوتر الخاصة بموظفين والتي تحتوي على كلمات مرور لخدمات Microsoft، ومفاتيح سرية، وأكثر من 30 ألف رسالة داخلية من Microsoft Teams من 359 موظفًا في Microsoft. يقول Wiz أن تحميل فريق Microsoft للذكاء الاصطناعي لبيانات التدريب التي تحتوي على تعليمات برمجية مفتوحة المصدر ونماذج الذكاء الاصطناعي سمح لمستخدمي GitHub بالوصول إلى النماذج الموجودة على خدمة Azure السحابية من Microsoft. تم الوصول إلى الملفات من خلال ميزة Azure تسمى رموز SAS، والتي تتيح لك رؤية البيانات من حسابات Azure Storage.
“بالإضافة إلى نطاق الوصول المفرط في التساهل، تم أيضًا تكوين الرمز بشكل خاطئ للسماح بأذونات “التحكم الكامل” بدلاً من القراءة فقط. وهذا يعني أنه لا يمكن للمهاجم عرض جميع الملفات الموجودة في حساب التخزين فحسب، بل يمكنه أيضًا حذف الملفات الموجودة والكتابة فوقها أيضًا. مشاركة مدونة ويز على التسرب.
قامت Microsoft بحل المشكلة بعد أن اتصلت Wiz بالشركة في يونيو للتحذير من التعرض. ومع ذلك، تم الكشف عن البيانات ذات الرابط النشط منذ عام 2020.
فرصة التعلم
يقول جيم دوبوا، مدير تكنولوجيا المعلومات السابق في Microsoft والمؤلف، لموقع InformationWeek إن المؤسسات يجب أن تشعر بالارتياح لحقيقة أن التسرب كان داخليًا وأن البيانات الخارجية لم تتعرض للخطر. يقول دوبوا: “هذا تسرب غير مادي إلى حد ما مقارنة بالتسربات الأخرى التي أبلغت عنها شركات أخرى هذا العام”. “لا توجد بيانات للعملاء… لم تتأثر الخدمات. لقد تسربت بيانات Microsoft الخاصة لعدد صغير جدًا من الموظفين.
وأضاف: “باعتباري رئيس قسم تكنولوجيا المعلومات/كبير مسؤولي أمن المعلومات، يمكنني أن أطمئن من هذا إلى أن خدمات Microsoft لا تزال آمنة ولكن تحتاج إلى التهيئة بشكل صحيح. أعتقد أنني بحاجة إلى توخي المزيد من الحذر بشأن ما أسمح لموظفينا بالقيام به، فحتى شركة Microsoft تواجه صعوبة في إقناع موظفيها باستخدام الخدمات السحابية بشكل صحيح.
يقول Wiz إن المؤسسات يمكن أن تتخذ خطوات لتجنب تسربات مماثلة من خلال تعزيز الأمن حول رموز SAS، والتي قالت الشركة إنها يجب أن تكون “محدودة قدر الإمكان”.
وقالت الشركة في مدونتها: “إن الخطوة البسيطة المتمثلة في مشاركة مجموعة بيانات الذكاء الاصطناعي أدت إلى تسرب كبير للبيانات، تحتوي على أكثر من 38 تيرابايت من البيانات الخاصة”.
وقال دوبوا إن المنظمات يمكن أن تنظر إلى التسريب باعتباره لحظة تعليمية. “أود أن أطلب من Microsoft وشركائها في التنفيذ المساعدة وأفضل الممارسات بالنسبة لي لتكوين الأمان في شركتي.”
ومع ذلك، أشار: “لا أعتقد أن هناك أي شيء في هذا التسريب يغير اعتقادي بأن الخدمات فائقة النطاق أكثر أمانًا مما يمكن أن تفعله معظم الشركات بنفسها لأن قدرتها على التعلم والتوسع في مواجهة مجموعة كاملة من الهجمات أكبر من قدرتها على التعلم والتوسع في مواجهة مجموعة كاملة من الهجمات”. ما يمكن لأي شركة فردية أن تفعله.”
لقد مرت Microsoft بعام صعب فيما يتعلق بالأمن، مع العديد من الهجمات البارزة و تحقيق وزارة الأمن الداخلي في اختراق البريد الإلكتروني في شهر يوليو والذي كشف حسابات حكومية رفيعة المستوى، بما في ذلك حسابات وزيرة التجارة الأمريكية جينا ريموندو وكبار دبلوماسيي وزارة الخارجية.
