Исследователи подразделения Microsoft AIслучайно слили 38 ТБ личных данных компании во время публикации обновлений учебных материалов по ИИ с открытым исходным кодом на GitHub.
Утечка, которая происходила с июля 2020 года, была обнаружена исследователями из фирмы по облачной безопасности Wiz три года спустя.
Команда искусственного интеллекта Microsoft случайно предоставляет 38 ТБ данных компании
Согласно Wiz, открытые данные включали резервную копию диска рабочих станций двух сотрудников. Резервная копия диска содержала корпоративные секреты, закрытые ключи, пароли и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.
Исследователи из Wiz столкнулись с проблемой во время текущего интернет-сканирования на предмет неправильно сконфигурированных контейнеров для хранения.
“Мы нашли репозиторий GitHub под управлением организации Microsoft под названием robust-models-transfer. Хранилище принадлежит подразделению Microsoft по исследованию искусственного интеллекта, и его целью является предоставление открытого исходного кода и моделей искусственного интеллекта для распознавания изображений ”, - объяснила компания в сообщении в блоге.
Читателям репозитория GitHub было поручено загрузить модели с URL-адреса хранилища Azure. При совместном использовании файлов Корпорация Майкрософт использовала функцию Azure, называемую токенами подписи общего доступа (SAS), которая позволяет осуществлять полный контроль над общими файлами из учетных записей хранилища Azure.
Хотя уровень доступа может быть ограничен только определенными файлами, исследователи подразделения искусственного интеллекта случайно поделились ссылкой, которая была настроена для предоставления общего доступа ко всей учетной записи хранилища, включая еще 38 ТБ личных файлов, что привело к утечке данных.
Помимо чрезмерно разрешительной области доступа, токен также был неправильно настроен для предоставления разрешений “полный контроль” вместо разрешений "только для чтения". Это означало, что злоумышленник мог не только просматривать все файлы в учетной записи хранилища, но также удалять и перезаписывать существующие файлы.
22 июня 2023 года Wiz сообщила об инциденте в Центр реагирования на безопасность Microsoft (MSRC), который 24 июня 2023 года аннулировал токен SAS, чтобы заблокировать весь внешний доступ к учетной записи хранилища Azure.
Microsoft завершила свое расследование потенциального воздействия на организацию 16 августа 2023 года и публично раскрыла инцидент в понедельник, 18 сентября 2023 года.
В рекомендациях, опубликованных в понедельник, команда MSRC заявила: “Никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подвергались риску из-за этой проблемы. Основная причина этого была исправлена, и теперь подтверждено, что система обнаруживает и должным образом сообщает обо всех перегруженных токенах SAS.
В ней добавлено: “Для решения этой проблемы не требуется никаких действий со стороны клиентов. Наше расследование показало, что в результате такого раскрытия не было никакого риска для клиентов”.
