Дослідники штучного інтелекту Microsoft випадково розкрили 38 терабайтів секретних даних компанії

Фахівці зі штучного інтелекту компанії Microsoft випадково виклали десятки терабайт конфіденційних даних, включно з приватними ключами та паролями працівників техногіганта. Всі дані були опубліковані на репозиторії GitHub. Злив виявили дослідники з хмарної безпеки Wiz, повідомляє TechCrunch.

Читачі репозиторію GitHub отримали інструкції для завантаження ШІ-моделі з URL-адреси Microsoft Azure Storage. Однак Wiz виявив, що ця URL-адреса була налаштована на надання дозволів на весь обліковий запис сховища Microsoft. Це і призвело до помилкового витоку приватних даних.

Інформація містила 38 терабайтів конфіденційних даних, включно з особистими резервними копіями персональних комп’ютерів двох співробітників Microsoft. Також у мережу потрапили паролі до служб Microsoft, секретні ключі та понад 30 000 внутрішніх повідомлень Microsoft Teams від сотень співробітників компанії.

За даними Wiz, URL-адреса, за якою ці дані були доступні з 2020 року, також була неправильно налаштована, щоб дозволити «повний контроль», а не «лише для читання». Це означає, що будь-хто, хто знав, де шукати, міг потенційно видалити, замінити або вбудувати шкідливий вміст у софт від Microsoft.

Wiz зазначає, що обліковий запис сховища не був безпосередньо вразливим. Розробники штучного інтелекту Microsoft включили в URL-адресу токен з надмірно широкими можливостями підпису спільного доступу (SAS). Зазначимо, що токени SAS — це механізм, який використовується в Azure і дозволяє користувачам створювати спільні посилання, що надають доступ до даних облікового запису Azure Storage.

«Штучний інтелект відкриває величезний потенціал для технологічних компаній», — зазначає співзасновник і технічний директор Wiz Амі Луттвак. — «Однак, оскільки дослідники даних та інженери намагаються впровадити нові рішення на основі штучного інтелекту у виробництво. Величезні обсяги даних, з якими вони працюють, вимагають додаткових перевірок і гарантій безпеки. Оскільки багатьом командам розробників доводиться маніпулювати величезними обсягами даних, ділитися ними з колегами або співпрацювати над публічними проектами з відкритим вихідним кодом, такі випадки, як у Microsoft, стає все важче відстежувати й уникати».

Wiz повідомила, що поділилася своїми висновками з Microsoft 22 червня, і Microsoft відкликала токен SAS через два дні, 24 червня. Техногігант заявив, що завершив своє розслідування щодо потенційного впливу на організацію 16 серпня. Центр реагування на загрози безпеки Microsoft також заявив, що «жодні дані клієнтів не були викриті, і жодна інша внутрішня служба не була піддана ризику через цю проблему».