Microsoft случайно опубликовала 38 ТБ внутренних конфиденциальных данных

19 сентября, 20231 минута на чтение

Компания Wiz, специализирующаяся на обеспечении безопасности облачных вычислений, сообщила, что выявила репозиторий GitHub, принадлежащий подразделению Microsoft, занимающемуся исследованиями в области ИИ.

По данным TechCrunch, ссылающимся на исследование специалистов, в репозитории, содержащем набор обучающих данных, открытый код и ИИ-модели для распознавания изображений, предлагалось загрузить набор моделей с URL-адреса Azure Storage.

В Wiz обнаружили, что этот URL-адрес был настроен на предоставление прав «полного контроля» на всю учётную запись хранилища, а не прав «только для чтения». Это привело к раскрытию дополнительных конфиденциальных данных объёмом 38 ТБ, в том числе личных резервных копий компьютеров двух сотрудников Microsoft.

Также в хранилище содержались и иная конфиденциальная персональная информация по типу паролей к сервисам Microsoft, секретных ключей и более 30 000 внутренних сообщений от сотен сотрудников компании в Microsoft Teams.

Учётная запись хранилища не была открыта напрямую, но разработчики Microsoft AI включили в URL разрешительный токен подписи общего доступа SAS — механизм, используемый в Azure, который позволяет создавать разделяемые ссылки, предоставляющие доступ к данным учётной записи Azure Storage.

Wiz сообщила о своих выводах компании Microsoft 22 июня — через два дня токен SAS был отозван. Расследование потенциальных организационных последствий компания завершила 16 августа:

Никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подвергались риску из-за этой проблемы.

Соучредитель и технический директор компании Wiz Ами Люттвак заявил, что искусственный интеллект открывает огромный потенциал для технологических компаний. По его словам, огромные объёмы данных, с которыми работают учёные и инженеры, требуют дополнительных проверок и мер безопасности:

Поскольку многим командам разработчиков приходится манипулировать огромными объёмами данных, делиться ими со своими коллегами или сотрудничать в рамках публичных проектов с открытым исходным кодом, такие случаи, как в случае с Microsoft, становится всё труднее отслеживать и избегать.