Zaposlenici koji rade na razvoju umjetne inteligencije u Microsoftu napravili su veliku pogrešku. Prema novom izvješću tvrtke Wiz za cloud sigurnost, istraživačkom timu Microsoftovog odjela za umjetnu inteligenciju slučajno je procurilo 38 terabajta privatnih podataka tvrtke
38 terabajta. To je mnogo podataka.
Izloženi podaci uključivali su pune sigurnosne kopije računala dvoje zaposlenika. Ove su sigurnosne kopije sadržavale osjetljive osobne podatke, uključujući lozinke za Microsoftove usluge, tajne ključeve i više od 30.000 internih Microsoft Teams poruka od više od 350 Microsoftovih zaposlenika.
Kako se to dogodilo?
U izvješću se objašnjava da je Microsoftov AI tim učitao skup podataka za obuku koji sadrže otvoreni kod i AI modele za prepoznavanje slika. Korisnici koji su naišli na Github repozitorij dobili su vezu s Azure-om, Microsoftovom cloud uslugom, kako bi preuzeli modele.
Jedan problem: poveznica koju je pružio Microsoftov AI tim posjetiteljima je omogućila potpuni pristup cijelom Azure računu za pohranu. I ne samo da su posjetitelji mogli vidjeti sve na računu, mogli su i učitati, prepisivati ili brisati datoteke.
Wiz kaže da se to dogodilo kao rezultat značajke Azure pod nazivom Shared Access Signature (SAS) tokens. Što je potpisani URL koji dopušta pristup podacima Azure Storage. SAS token je mogao biti postavljen s ograničenjima kojoj se datoteci ili datotekama može pristupiti. Međutim, ova veza je konfigurirana s punim pristupom, piše Mashable.
Dodatak potencijalnim problemima, prema Wizu, je to što se čini da su ti podaci bili izloženi od 2020.
Wiz je kontaktirao Microsoft ranije ove godine, 22. lipnja, kako bi ih upozorio na svoje otkriće. Dva dana kasnije, Microsoft je poništio SAS token, zatvarajući problem. Microsoft je u kolovozu proveo i dovršio istragu o potencijalnim utjecajima.
Microsoft je u svojoj izjavi za TechCrunch rekao da “nikakvi podaci o klijentima nisu bili izloženi i niti jedna druga interna usluga nije bila ugrožena zbog ovog problema.”