Исследовательское подразделение Microsoft по ИИ случайно раскрыло конфиденциальные данные

Недавно исследовательское подразделение Microsoft AI случайно раскрыло значительное количество конфиденциальных данных, включая закрытые ключи и пароли. Данные были опубликованы, когда команда публиковала открытые исходные данные для обучения на GitHub, популярной платформе для обмена кодом.

Нарушение безопасности было обнаружено стартапом в области облачной безопасности Wiz в ходе их расследования случайного раскрытия данных, размещенных в облаке. Вопросительный репозиторий GitHub предоставлял открытый исходный код и модели AI для распознавания изображений. Однако URL-адрес, с которого должны были загружаться эти модели, был неправильно настроен, что предоставило разрешения на весь учетный запись хранилища и случайно раскрыло дополнительные частные данные.

Среди раскрытых данных было 38 терабайтов конфиденциальной информации, такой как личные резервные копии с компьютеров двух сотрудников Microsoft, пароли к сервисам Microsoft, секретные ключи и более 30 000 внутренних сообщений от сотен сотрудников Microsoft.

Wiz указал, что учетная запись хранилища не была непосредственно раскрыта, а из-за чрезмерно разрешительного общего токена доступа (SAS), включенного в URL разработчиками AI Microsoft. Токены SAS используются Azure для создания общедоступных ссылок, которые предоставляют доступ к данным учетной записи Azure Storage.

После обнаружения Wiz 22 июня Microsoft отозвала токен SAS 24 июня и завершила расследование возможного организационного воздействия 16 августа. В ответ на этот инцидент Microsoft расширила службу сканирования секретов GitHub, которая отслеживает все изменения открытого исходного кода на предмет открытого раскрытия учетных данных и других секретов.

Источник: techcrunch.com