A Microsoft AI részlegének kutatói véletlenül 38 TB-ot szivárogtattak ki a vállalat privát adataiból, miközben nyílt forráskódú mesterségesintelligencia-oktatóanyag-frissítéseket tettek közzé a GitHubon.
A 2020 júliusa óta előforduló szivárgást a Wiz felhőbiztonsági cég kutatói fedezték fel három évvel később.
A Microsoft AI csapata véletlenül 38 TB vállalati adatot tesz közzé
A Wiz szerint a feltárt adatok között szerepelt két alkalmazott munkaállomásának lemezes biztonsági mentése is. A lemezes biztonsági másolat vállalati titkokat, privát kulcsokat, jelszavakat és több mint 30 000 belső Microsoft Teams-üzenetet tartalmazott, amelyeket 359 Microsoft-alkalmazott küldött.
A Wiz kutatói a hibásan konfigurált tárolókonténerek folyamatos internetes vizsgálata során találkoztak a problémával.
„Találtunk egy GitHub adattárat a Microsoft nevű szervezet alatt robusztus-modellek-átvitel. Az adattár a Microsoft mesterséges intelligencia kutatási részlegéhez tartozik, és célja nyílt forráskódú kód és mesterséges intelligencia modellek biztosítása a képfelismeréshez” – írja a cég. magyarázta egy blogbejegyzésben.
A GitHub-tár olvasói arra utasították, hogy töltsék le a modelleket az Azure Storage URL-címéről. A fájlok megosztása során a Microsoft az Azure Shared Access Signature (SAS) tokenek nevű szolgáltatását használta, amely lehetővé teszi az Azure Storage-fiókokból származó megosztott fájlok teljes ellenőrzését.
Míg a hozzáférési szint csak bizonyos fájlokra korlátozható, a mesterséges intelligencia részleg kutatói véletlenül megosztottak egy hivatkozást, amely úgy volt beállítva, hogy megosszák a teljes tárfiókot – beleértve a további 38 TB privát fájlokat is, ami adatok kiszivárgásához vezetett.
A túlzottan megengedő hozzáférési hatókör mellett a tokent is rosszul konfigurálták, hogy csak olvasható helyett „teljes vezérlésű” engedélyeket tegyen lehetővé. Ez azt jelentette, hogy a támadó nemcsak megtekintheti a tárfiók összes fájlját, hanem törölheti és felülírhatja a meglévő fájlokat is.
A Wiz 2023. június 22-én jelentette az incidenst a Microsoft Security Response Centernek (MSRC), amely 2023. június 24-én érvénytelenítette a SAS tokent, hogy blokkolja az Azure Storage-fiókhoz való minden külső hozzáférést.
A Microsoft 2023. augusztus 16-án fejezte be a lehetséges szervezeti hatásokkal kapcsolatos vizsgálatot, és 2023. szeptember 18-án, hétfőn nyilvánosságra hozta az incidenst.
Egy tanácsadóban közzétett Hétfőn az MSRC csapata azt mondta: „Egyetlen ügyféladat sem került nyilvánosságra, és más belső szolgáltatások sem kerültek veszélybe a probléma miatt. Ennek kiváltó okát kijavították, és a rendszer mostanra megerősítette, hogy észleli és megfelelően jelenti az összes túlzottan kiépített SAS-jogkivonatot.
Hozzátette: „A probléma megválaszolásához nincs szükség az ügyfeleknek semmilyen lépésre. Vizsgálatunk arra a következtetésre jutott, hogy ez a kitettség nem jelentett kockázatot az ügyfelek számára.”
