Equipe de IA da Microsoft vaza acidentalmente 38TB de dados privados da empresa

Equipe de IA da Microsoft vaza 38TB de dados privados

Investigadores de IA da Microsoft cometeram um grande erro.

De acordo com um novo relatório da empresa de segurança na nuvem Wiz, a equipe de pesquisa de IA da Microsoft vazou acidentalmente 38TB dos dados privados da empresa.

38 terabytes. Isso é muitos dados.

Os dados expostos incluíam backups completos de dois computadores de funcionários. Esses backups continham dados pessoais sensíveis, incluindo senhas para serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams de mais de 350 funcionários da Microsoft.

O tweet pode ter sido excluído

• A transparência salarial está se espalhando pelos EUA
• A Economia Sombria de Russell Brand
• Explore a antiga capital asteca nesta renderização 3D realista

Então, como isso aconteceu? O relatório explica que a equipe de IA da Microsoft enviou um conjunto de dados de treinamento contendo código aberto e modelos de IA para reconhecimento de imagens. Os usuários que encontraram o repositório do Github receberam um link do Azure, o serviço de armazenamento em nuvem da Microsoft, para baixar os modelos.

Um problema: o link fornecido pela equipe de IA da Microsoft dava aos visitantes acesso completo à conta de armazenamento do Azure inteira. E não só os visitantes podiam ver tudo na conta, mas também poderiam fazer upload, substituir ou excluir arquivos.

A Wiz diz que isso ocorreu como resultado de um recurso do Azure chamado Tokens de Assinatura de Acesso Compartilhado (SAS), que é “um URL assinado que concede acesso aos dados de armazenamento do Azure”. O token SAS poderia ter sido configurado com limitações sobre quais arquivos poderiam ser acessados. No entanto, este link em particular foi configurado com acesso total.

Além dos possíveis problemas, de acordo com a Wiz, parece que esses dados foram expostos desde 2020.

A Wiz entrou em contato com a Microsoft no início deste ano, em 22 de junho, para alertá-los sobre sua descoberta. Dois dias depois, a Microsoft invalidou o token SAS, encerrando o problema. A Microsoft realizou e concluiu uma investigação sobre os impactos potenciais em agosto.

A Microsoft forneceu uma declaração à ENBLE, afirmando que “nenhum dado do cliente foi exposto e nenhum outro serviço interno foi colocado em risco por causa desse problema”.