Pesquisa em IA da Microsoft expõe terabytes de dados internos sensíveis
Pesquisadores de inteligência artificial da Microsoft inadvertidamente expuseram dezenas de terabytes de dados sensíveis ao publicarem um repositório de armazenamento de dados de treinamento de código aberto no GitHub. Entre os dados vazados, então chaves privadas e senhas.
A startup de segurança na nuvem, Wiz, compartilhou suas descobertas com o TechCrunch, revelando a existência de um repositório no GitHub pertencente à divisão de pesquisa em IA da Microsoft. Essa descoberta foi feita no contexto de investigações em andamento sobre a exposição acidental de dados hospedados na nuvem.
Leia mais:
Como instalar Windows no SSD? Veja passo a passoWindows 11: como criar um pen drive de instalação do sistemaMicrosoft ajuda a copiar texto em imagem de captura de tela do Android
O que aconteceu?
Os usuários do GitHub que acessaram o repositório encontraram código de código aberto e modelos de IA para reconhecimento de imagem e foram instruídos a fazer o download dos modelos a partir de uma URL de Armazenamento Azure.No entanto, a Wiz descobriu que essa URL estava configurada para conceder permissões a toda a conta de armazenamento, expondo acidentalmente dados privados adicionais.Esses dados incluíam 38 terabytes de informações sensíveis, como backups pessoais de dois computadores pessoais de funcionários da Microsoft.Além disso, os dados continham outras informações pessoais confidenciais, como senhas para os serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams de centenas de funcionários da empresa.De acordo com a Wiz, a URL que expôs esses dados estava desprotegida desde 2020 e também estava configurada incorretamente, permitindo “controle total” em vez de permissões “somente leitura”.Isso significava que qualquer pessoa que soubesse onde procurar poderia potencialmente excluir, substituir e inserir conteúdo malicioso.A Wiz observou que a conta de armazenamento não estava diretamente exposta. Em vez disso, os desenvolvedores de IA da Microsoft incluíram um token de assinatura de acesso compartilhado (SAS) excessivamente permissivo na URL.Os tokens SAS são um mecanismo usado pelo Azure que permite aos usuários criar links compartilháveis que concedem acesso aos dados de uma conta de armazenamento do Azure.
A IA desbloqueia um enorme potencial para empresas de tecnologia. No entanto, à medida que cientistas de dados e engenheiros correm para desenvolver novas soluções de IA, as enormes quantidades de dados que eles manipulam exigem verificações de segurança e salvaguardas adicionais. Com muitas equipes de desenvolvimento precisando manipular grandes volumes de dados, compartilhá-los com seus pares ou colaborar em projetos de código aberto públicos, casos como o da Microsoft estão se tornando cada vez mais difíceis de monitorar e evitar.
Ami Luttwak, cofundador e CTO da Wiz
Microsoft foi informada
A Wiz informou a Microsoft sobre suas descobertas em 22 de junho, e a Microsoft revogou o token SAS dois dias depois, em 24 de junho. A Microsoft afirmou que concluiu sua investigação sobre o impacto organizacional em potencial em 16 de agosto.
Em um post no blog compartilhado, que o TechCrunch disse ter tido acesso antes da publicação, o Centro de Resposta à Segurança da Microsoft afirmou que “nenhum dado do cliente foi exposto, e nenhum outro serviço interno foi colocado em risco devido a esse problema.”
A Microsoft também anunciou que, como resultado da pesquisa da Wiz, expandiu o serviço do GitHub para monitorar todas as alterações de código aberto público em busca de exposição em texto simples de credenciais e outros segredos. Isso inclui quaisquer tokens SAS que possam ter expirações ou privilégios excessivamente permissivos.
Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!
O post Pesquisa em IA da Microsoft expõe terabytes de dados internos sensíveis apareceu primeiro em Olhar Digital.
