38 To de données internes de Microsoft exposées pendant trois ans

La start-up cyber Wiz a révélé, le 18 septembre 2023, qu’une base de données internes de Microsoft, d’une taille de 38 To, était restée exposée pendant presque trois ans. Cette base émanait des chercheurs en IA de Microsoft et contenait notamment des clés privées, des mots de passe et des messages internes sur Teams. La firme de Redmond a confirmé l’information le même jour.

Wiz a identifié la fuite sur la plateforme de développement GitHub, où Microsoft permet à des experts de télécharger ses recherches publiques en IA. Au second trimestre 2020, un employé y a publié une URL de redirection, qui accordait par erreur des autorisations sur l’ensemble du compte de stockage.

Le 22 juin 2023, Wiz a partagé ses conclusions à Microsoft, qui a révoqué l’accès problématique le 24 juin 2023. Le géant du net a bouclé l’enquête sur les conséquences organisationnelles de l’incident le 16 août 2023 mais ignore qui a pu consulter les données exposées.

Cette affaire éclate dans un contexte tendu pour Microsoft en matière de protection des données. Début septembre 2023, le groupe a en effet reconnu et détaillé le piratage de sa messagerie par le groupe étatique chinois Storm-0558. Peu après, Microsoft a partagé avec la justice américaine des documents liés à son offre de rachat d’Activision Blizzard mais sans les expurger de leurs données confidentielles.