El equipo de IA de Microsoft expone accidentalmente 38 TB de datos de la empresa

La división de IA de Microsoft investigadores Se filtraron accidentalmente 38 TB. de la empresa privada datos mientras publica actualizaciones de material de capacitación de IA de código abierto en GitHub.

La filtración, que se estaba produciendo desde julio de 2020, fue descubierta por investigadores de la empresa de seguridad en la nube Wiz tres años después.

El equipo de IA de Microsoft expone accidentalmente 38 TB de datos de la empresa

Según Wiz, el datos expuestos incluyó una copia de seguridad en disco de las estaciones de trabajo de dos empleados. La copia de seguridad del disco contenida secretos corporativos, claves privadas, contraseñasy más 30.000 mensajes internos de Microsoft Teams de 359 empleados de Microsoft.

Los investigadores de Wiz se toparon con el problema durante sus análisis de Internet en curso en busca de contenedores de almacenamiento mal configurados.

“Encontramos un repositorio de GitHub bajo la organización de Microsoft llamado transferencia-de-modelos-robustos. El repositorio pertenece a la división de investigación de IA de Microsoft y su propósito es proporcionar código fuente abierto y modelos de IA para el reconocimiento de imágenes”, explicó la compañía en una publicación de blog.

A los lectores del repositorio de GitHub se les indicó que descargaran los modelos desde una URL de Azure Storage. Al compartir los archivos, Microsoft utilizó una característica de Azure llamada tokens de firma de acceso compartido (SAS), que permite un control total sobre los archivos compartidos desde las cuentas de Azure Storage.

Si bien el nivel de acceso puede limitarse solo a archivos específicos, los investigadores de la división de IA compartieron accidentalmente un enlace que estaba configurado para compartir toda la cuenta de almacenamiento, incluidos otros 38 TB de archivos privados, lo que provocó la filtración de datos.

Además del alcance de acceso excesivamente permisivo, el token también estaba mal configurado para permitir permisos de «control total» en lugar de solo lectura. Esto significaba que un atacante no sólo podía ver todos los archivos de la cuenta de almacenamiento, sino que también podía eliminar y sobrescribir los archivos existentes.

Wiz informó el incidente al Centro de respuesta de seguridad de Microsoft (MSRC) el 22 de junio de 2023, que invalidó el token SAS el 24 de junio de 2023 para bloquear todo acceso externo a la cuenta de almacenamiento de Azure.

Microsoft completó su investigación sobre el posible impacto organizacional el 16 de agosto de 2023 y reveló públicamente el incidente el lunes 18 de septiembre de 2023.

En un aviso publicado el lunes, el equipo MSRC dicho, «Sin datos de clientes era expuesto, y ningún otro servicio interno se puso en riesgo debido a este problema. El causa principal El problema para esto ha sido fijadoy ahora se confirma que el sistema detecta e informa correctamente sobre todos los tokens SAS sobreaprovisionados.

Añadió: “No se requiere ninguna acción del cliente para responder a este problema. Nuestra investigación concluyó que no había riesgo para los clientes como resultado de esta exposición”.