Команда Microsoft AI случайно утекает 38 ТБ частных данных компании

Microsoft AI team accidentally leaks 38 TB of company's private data

Исследователи искусственного интеллекта в Microsoft допустили огромную ошибку.

Согласно новому отчету компании по облачной безопасности Wiz, исследовательская команда Microsoft по искусственному интеллекту случайно утекло 38 терабайтов компании частных данных.

38 терабайтов. Это много данных.

Утечка данных включала полные резервные копии компьютеров двух сотрудников. В этих резервных копиях содержались чувствительные личные данные, включая пароли к службам Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от более чем 350 сотрудников Microsoft.

Твит мог быть удален

• Исследуйте древнюю столицу ацтеков в этой реалистичной 3D-рендеринге
• Прозрачность оплаты заработной платы охватывает всю территорию США
• Темная экономика Рассела Брэнда

Итак, как это произошло? В отчете объясняется, что команда искусственного интеллекта Microsoft загрузила набор тренировочных данных, содержащих код с открытым исходным кодом и модели искусственного интеллекта для распознавания изображений. Пользователи, которые обнаружили репозиторий на Github, получали ссылку от Azure, облачного хранилища Microsoft, для загрузки моделей.

Одна проблема: ссылка, предоставленная командой искусственного интеллекта Microsoft, давала посетителям полный доступ ко всему аккаунту хранения Azure. И не только можно было просматривать все в аккаунте, но также загружать, перезаписывать или удалять файлы.

Wiz объясняет, что это произошло из-за функции Azure, называемой токенами общего доступа Shared Access Signature (SAS), которая представляет собой “подписанный URL, предоставляющий доступ к данным хранения Azure”. Токен SAS мог быть настроен с ограничениями относительно того, какой файл или файлы могут быть доступны. Однако данная ссылка была настроена с полным доступом.

Возможные проблемы усугубляются тем, что, по словам Wiz, эти данные были подвержены утечке с 2020 года.

Wiz связалась с Microsoft в начале этого года, 22 июня, чтобы предупредить их о своем открытии. Через два дня Microsoft аннулировал токен SAS, устраняя проблему. Microsoft провела и завершила расследование потенциальных последствий в августе.

Microsoft предоставила ENBLE заявление, в котором утверждается, что “никакие данные клиентов не были подвержены утечке, и из-за этой проблемы не было подвергнуто риску никаких других внутренних служб”.