A Microsoft identificou e corrigiu uma exposição de 38 terabytes de dados em seu repositório AI GitHub. A origem da exposição foi rastreada até um token SAS (Shared Access Signature) que foi compartilhado publicamente por um funcionário da empresa.
Os dados expostos incluíam informações de trabalho de dois ex-funcionários e comunicações internas via Microsoft Teams. É importante ressaltar que, após uma análise detalhada, a Microsoft confirmou que nenhuma informação de cliente ou serviço interno adicional foi afetado.
Como medida corretiva, a empresa revogou o token SAS em questão e implementou restrições adicionais para prevenir acessos externos indevidos à conta de armazenamento. Além disso, a Microsoft está revisando e fortalecendo seus processos de segurança para evitar incidentes semelhantes no futuro.
Para evitar futuras vulnerabilidades, a Microsoft está aprimorando seus protocolos de segurança e expandindo seu serviço de varredura de segredos. A empresa também reforça a importância da Divulgação Coordenada de Vulnerabilidades (CVD) e agradeceu a colaboração dos pesquisadores da Wiz.io neste incidente.