Исследовательское подразделение Microsoft по искусственному интеллекту случайно допустило утечку десятков терабайт конфиденциальных данных. С июля 2020 года сотрудники компании размещали модели обучения с открытым исходным кодом в общедоступном репозитории GitHub, включали туда и конфиденциальную информацию.
Почти три года спустя это было обнаружено компанией по облачной безопасности Wiz, чьи исследователи безопасности обнаружили, что сотрудник Microsoft непреднамеренно поделился URL-адресом неправильно сконфигурированного хранилища больших двоичных объектов Azure, содержащего утечку информации.
Корпорация Microsoft связала доступ к данным с использованием чрезмерно разрешающего токена подписи общего доступа (SAS), который позволял полностью контролировать общие файлы. При правильном использовании SAS обеспечивают безопасное средство предоставления делегированного доступа к ресурсам в пользовательской учетной записи хранилища. Это включает в себя точный контроль над доступом клиента к данным, указание ресурсов, с которыми он может взаимодействовать, определение его разрешений в отношении этих ресурсов и определение срока действия токена SAS.
Исследовательская группа Wiz обнаружила, что помимо моделей с открытым исходным кодом, учетная запись внутреннего хранилища также непреднамеренно предоставила доступ к дополнительным личным данным объемом 38 Тб. Обнаруженные данные включали резервные копии личной информации, принадлежащей сотрудникам Microsoft, включая пароли к службам Microsoft, секретные ключи и архив из более чем 30 тыс. внутренних сообщений Microsoft Teams, исходящих от 359 сотрудников компании.
18 сентября 2023 года команда Microsoft Security Response Center (MSRC) сообщила, что никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подверглись опасности из-за этого инцидента. Wiz сообщила об инциденте в MSRC 22 июня 2023 года, которая отозвала токен SAS, чтобы заблокировать весь внешний доступ к учетной записи хранилища Azure, устранив проблему 24 июня 2023 года.