Découverte d’une base de données non sécurisée de Microsoft Azure par des chercheurs en cybersécurité de Wiz
La base de données a été sécurisée avant qu’aucun pirate informatique n’ait pu y accéder
Des chercheurs de la société de cybersécurité Wiz, dans le cadre de leurs investigations sur une exposition accidentelle de données hébergées dans le cloud, ont mis à jour une base de données non sécurisée de Microsoft Azure. Cette dernière contenait du code source destiné aux modèles d’IA de Microsoft pour la reconnaissance d’images.
Cette découverte s’est révélée être une erreur humaine majeure puisque la base de données contenait, entre autres, 38 téraoctets d’informations, les sauvegardes des ordinateurs de deux employés de Microsoft, les mots de passe des services de Microsoft et plus de 30 000 messages d’équipes de Microsoft.
Informé par Wiz le 22 juin, Microsoft a révoqué le token SAS deux jours plus tard. Cependant, l’entreprise a mis près de trois semaines pour mener une enquête approfondie et conclure que les données n’avaient pas été accessibles à des tiers.
Afin de prévenir de tels incidents à l’avenir, Microsoft a étendu le service de balayage secret de GitHub. Ce service suit toutes les modifications du code source public pour détecter les informations d’identification et autres secrets exposés en texte clair.
Malheureusement, les bases de données non sécurisées sont monnaie courante. Plus tôt cette année, la même erreur a été commise par l’application de chat vocal Android OyeTalk qui utilisait la plateforme de développement d’applications mobiles Firebase de Google.
Il est essentiel de souligner que l’ensemble des acteurs du secteur de la technologie se doivent d’être vigilants et proactifs dans la sécurisation de leurs bases de données afin de prévenir toute violation potentielle de la sécurité des données.
Référence : Informations récupérées depuis le site de Wiz.