Microsoft случайно опубликовала 38 терабайтов внутренних конфиденциальных данных

20 сентября 2023, 11:01
Читати новину українською

Источник:

TechCrunch

Работники отдела разработки искусственного интеллекта в Microsoft случайно раскрыли десятки терабайтов конфиденциальных данных, включая приватные ключи и пароли, во время публикации на GitHub хранилища учебных данных с открытым исходным кодом. Это заметила компания Wiz, специализирующаяся на безопасности облачных вычислений.

Согласно анализу репозитория, он содержит набор обучающих данных, открытый код и ИИ-модели для распознавания изображений. Любой мог загрузить набор моделей с URL-адреса Azure Storage, собственного облачного сервиса компании. Но если покопаться, там можно было найти намного больше.

Смотрите также Microsoft защитит всех, на кого подадут в суд за использование Copilot

Что известно

В Wiz обнаружили, что этот URL-адрес был настроен на предоставление прав "полного контроля" на всю учетную запись хранилища, а не прав "только для чтения". Это привело к раскрытию дополнительных конфиденциальных данных объемом 38 терабайтов, в том числе личные резервные копии компьютеров двух сотрудников Microsoft.

Также в хранилище содержалась и другая конфиденциальная персональная информация вроде паролей к сервисам Microsoft, секретным ключам и более 30 000 внутренних сообщений от сотен сотрудников компании в Microsoft Teams.

Учетная запись хранилища не была открыта непосредственно, но разработчики Microsoft AI добавили в URL разрешительный токен подписи общего доступа SAS – механизм, используемый в Azure, позволяющий создавать разделенные ссылки, предоставляющие доступ к данным учетной записи Azure Storage.

Wiz сообщила о своих выводах компании Microsoft 22 июня — через два дня токен SAS был отозван. Расследование потенциальных организационных последствий компания завершила 16 августа.

Никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подвергались риску из-за этой проблемы,
– прокомментировали в компании.

Соучредитель и технический директор компании Wiz Ами Люттвак заявил, что искусственный интеллект открывает огромный потенциал для технологических компаний. По его словам, большие объемы данных, с которыми работают ученые и инженеры, требуют дополнительных проверок и мер безопасности. Поскольку многим разработчикам приходится манипулировать огромными объемами данных, делиться ими со своими коллегами или сотрудничать в рамках публичных проектов с открытым исходным кодом, такие случаи, как в случае с Microsoft, становится все труднее отслеживать и избегать.