Η ομάδα AI της Microsoft διέρρευσε κατά λάθος 38 TB δεδομένων ιδιωτικής εταιρείας

By

Marizas Dimitris

On

Σεπ 19, 2023

Οι ερευνητές τεχνητής νοημοσύνης στη

Microsoft

έκαναν ένα τεράστιο λάθος.

Σύμφωνα με α

νέα έκθεση

από την εταιρεία ασφάλειας cloud Wiz, η ερευνητική ομάδα AI της Microsoft διέρρευσε κατά λάθος 38 TB ιδιωτικών δεδομένων της εταιρείας.

38 terabyte

. Αυτό είναι

πολύ

των δεδομένων.

Τα εκτεθειμένα δεδομένα περιελάμβαναν πλήρη αντίγραφα ασφαλείας των υπολογιστών δύο υπαλλήλων. Αυτά τα αντίγραφα ασφαλείας περιείχαν ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης στις υπηρεσίες της Microsoft, μυστικών κλειδιών και περισσότερα από 30.000 εσωτερικά μηνύματα του Microsoft Teams από περισσότερους από 350 υπαλλήλους της Microsoft.

Το tweet μπορεί να έχει διαγραφεί

Λοιπόν, πώς έγινε αυτό; Η έκθεση εξηγεί ότι η ομάδα τεχνητής νοημοσύνης της Microsoft ανέβασε έναν κουβά δεδομένων

εκπαίδευση

ς που περιείχε κώδικα ανοιχτού κώδικα και μοντέλα τεχνητής νοημοσύνης για αναγνώριση εικόνας. Στους χρήστες που βρήκαν το αποθετήριο

Github

δόθηκε ένας σύνδεσμος από το

Azure

, την υπηρεσία αποθήκευσης cloud της Microsoft, προκειμένου να κατεβάσουν τα μοντέλα.

Ένα πρόβλημα: Ο σύνδεσμος που δόθηκε από την ομάδα AI της Microsoft έδωσε στους επισκέπτες πλήρη πρόσβαση σε ολόκληρο τον αποθηκευτικό λογαριασμό Azure. Και όχι μόνο οι επισκέπτες μπορούσαν να δουν τα πάντα στον λογαριασμό, αλλά μπορούσαν επίσης να ανεβάσουν, να αντικαταστήσουν ή να διαγράψουν αρχεία.

Η Wiz λέει ότι αυτό συνέβη ως αποτέλεσμα μιας δυνατότητας Azure που ονομάζεται Κοινόχρηστη υπογραφή πρόσβασης (SAS) tokens, η οποία είναι “μια υπογεγραμμένη διεύθυνση URL που παρέχει πρόσβαση στα δεδομένα του Azure Storage”. Το διακριτικό SAS θα μπορούσε να έχει ρυθμιστεί με περιορισμούς ως προς το αρχείο ή τα αρχεία που θα μπορούσαν να έχουν πρόσβαση. Ωστόσο, ο συγκεκριμένος σύνδεσμος διαμορφώθηκε με πλήρη πρόσβαση.

Το πρόσθετο στα πιθανά ζητήματα, σύμφωνα με το Wiz, είναι ότι φαίνεται ότι αυτά τα δεδομένα έχουν εκτεθεί από το 2020.

Η Wiz επικοινώνησε με τη Microsoft νωρίτερα φέτος, στις 22 Ιουνίου, για να την προειδοποιήσει για την ανακάλυψή τους. Δύο ημέρες αργότερα, η Microsoft ακύρωσε το διακριτικό SAS, κλείνοντας το ζήτημα. Η Microsoft πραγματοποίησε και ολοκλήρωσε έρευνα για τις πιθανές επιπτώσεις τον Αύγουστο.

Η Microsoft παρείχε στο TechCrunch ένα

δήλωση

ισχυριζόμενος ότι «δεν εκτέθηκαν δεδομένα πελατών και καμία άλλη εσωτερική υπηρεσία δεν τέθηκε σε κίνδυνο εξαιτίας αυτού του ζητήματος».

Θέματα

Κυβερνοασφάλεια Microsoft

mashable.com

Παρόμοια άρθρα