Согласно анализу репозитория, он содержит набор обучающих данных, открытый код и ИИ-модели для распознавания изображений. Любой мог загрузить набор моделей с URL-адреса Azure Storage, собственного облачного сервиса компании. Но если покопаться, там можно было найти намного больше.
Смотрите также Microsoft защитит всех, на кого подадут в суд за использование Copilot
Что известно
В Wiz обнаружили, что этот URL-адрес был настроен на предоставление прав "полного контроля" на всю учетную запись хранилища, а не прав "только для чтения". Это привело к раскрытию дополнительных конфиденциальных данных объемом 38 терабайтов, в том числе личные резервные копии компьютеров двух сотрудников Microsoft.
Также в хранилище содержалась и другая конфиденциальная персональная информация вроде паролей к сервисам Microsoft, секретным ключам и более 30 000 внутренних сообщений от сотен сотрудников компании в Microsoft Teams.
Учетная запись хранилища не была открыта непосредственно, но разработчики Microsoft AI добавили в URL разрешительный токен подписи общего доступа SAS – механизм, используемый в Azure, позволяющий создавать разделенные ссылки, предоставляющие доступ к данным учетной записи Azure Storage.
Никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подвергались риску из-за этой проблемы,
– прокомментировали в компании.
Соучредитель и технический директор компании Wiz Ами Люттвак заявил, что искусственный интеллект открывает огромный потенциал для технологических компаний. По его словам, большие объемы данных, с которыми работают ученые и инженеры, требуют дополнительных проверок и мер безопасности. Поскольку многим разработчикам приходится манипулировать огромными объемами данных, делиться ими со своими коллегами или сотрудничать в рамках публичных проектов с открытым исходным кодом, такие случаи, как в случае с Microsoft, становится все труднее отслеживать и избегать.