Bild: Pixabay

Im Jahr 2020 ist auf Github ein freizügig konfiguriertes SAS-Token für ein Azure-Storage-Konto aufgetaucht. Entdeckt wurde es erst 3 Jahre später.

Sicherheitsforscher von Wiz haben im vergangenen Juni herausgefunden, dass die KI-Abteilung von Microsoft bei der Veröffentlichung freier Trainingsdaten auf Github versehentlich rund 38 Terabyte an weiteren internen Daten offengelegt hatte. Wie die Forscher in ihrem Bericht zu dem Vorfall erklären, sollen dadurch eine Reihe privater Schlüssel, Passwörter, mehr als 30.000 via Microsoft Teams ausgetauschte interne Nachrichten sowie Festplatten-Back-ups der Workstations zweier Mitarbeiter rund drei Jahre lang öffentlich zugänglich gewesen sein.

Entstanden sei das Datenleck am 20. Juli 2020 durch einen Commit, mit dem Microsofts KI-Forscher versehentlich ein sogenanntes SAS-Token (Shared Access Signature) auf Github verfügbar machten. Dabei handelt es sich um eine signierte URL, die Zugriffe auf Daten von Azure-Storage-Konten gewährt.