Introdução
O cenário de armazenamento em nuvem tem se mostrado cada vez mais crítico no contexto da segurança da informação. Um exemplo recente que ilustra essa questão foi o incidente em que a divisão de pesquisa de IA da Microsoft vazou 38TB de dados sensíveis. O vazamento ocorreu em julho de 2020, mas só foi descoberto quase três anos depois pela empresa de segurança em nuvem Wiz. Este artigo detalha os aspectos desse incidente e fornece insights sobre os riscos de segurança associados ao armazenamento em nuvem e compartilhamento de dados.
Contexto do Incidente
Durante a contribuição de modelos de aprendizagem de IA em código aberto para um repositório público do GitHub, um funcionário da Microsoft compartilhou acidentalmente a URL para um armazenamento Azure Blob mal configurado. Esta ação resultou na exposição de um volume significativo de informações privadas.
A Falha no Uso do Token SAS
A Microsoft atribuiu a exposição de dados ao uso de um Token de Assinatura de Acesso Compartilhado (SAS) excessivamente permissivo. Este recurso do Azure permite o compartilhamento de dados, mas, segundo os pesquisadores da Wiz, é desafiador monitorar e revogar tais permissões. Embora os tokens SAS, quando usados corretamente, ofereçam um meio seguro de conceder acesso delegado a recursos, eles também apresentam riscos significativos se mal administrados.
Problemas com Tokens SAS
Os tokens SAS são difíceis de rastrear e gerenciar centralizadamente dentro do portal Azure, conforme alertado pela Wiz. Eles também podem ser configurados para durar indefinidamente, tornando-os extremamente arriscados quando usados para compartilhamento externo. A falta de monitoramento e governança de tokens SAS aumenta os riscos de segurança, e seu uso deve ser o mais limitado possível.
O Impacto do Vazamento
Além dos modelos de código aberto, o incidente também expôs 38TB de dados adicionais, incluindo backups de informações pessoais de funcionários da Microsoft, senhas para serviços da Microsoft, chaves secretas e um arquivo contendo mais de 30,000 mensagens internas do Microsoft Teams. Em um comunicado, a Microsoft afirmou que nenhum dado de cliente foi exposto devido a este incidente.
Medidas Corretivas
Após ser informada do vazamento em 22 de junho de 2023, a Microsoft agiu rapidamente para revogar o token SAS e bloquear todo o acesso externo à conta de armazenamento Azure, mitigando o problema em 24 de junho de 2023.
Considerações sobre Segurança em IA e Armazenamento em Nuvem
O cofundador e CTO da Wiz, Ami Luttwak, destacou que a corrida para levar novas soluções de IA para a produção requer atenção extra aos protocolos de segurança. Com o aumento da quantidade de dados manipulados e compartilhados, é cada vez mais difícil monitorar e evitar incidentes como o da Microsoft.
Práticas Recomendadas para Segurança em Armazenamento em Nuvem
1. **Monitoramento Constante**: É fundamental monitorar continuamente o ambiente de armazenamento para detectar configurações incorretas ou atividades suspeitas.
2. **Limitação do Uso de Tokens**: Como enfatizado pelo incidente, o uso de tokens para controle de acesso deve ser rigorosamente gerenciado e monitorado.
3. **Governança de Dados**: Implementar uma forte governança de dados pode ajudar a prevenir vazamentos acidentais.
4. **Treinamento de Equipe**: Educar a equipe sobre as melhores práticas de segurança é crucial para evitar erros humanos que podem levar a vazamentos de dados.
Conclusão
O vazamento de dados da Microsoft serve como um alerta para as organizações sobre os riscos inerentes ao armazenamento em nuvem e à manipulação de grandes volumes de dados. A segurança em ambientes de armazenamento em nuvem é complexa e requer uma abordagem holística que envolve tecnologia, processos e pessoas. Adotar práticas rigorosas de segurança e monitoramento pode ser um passo significativo na prevenção de incidentes futuros.