Výzkumníci z Microsoftu omylem zveřejnili 38 TB firemních dat

Výzkumný tým věnující se umělé inteligenci společnosti Microsoft nahrál tréninková data na platformu GitHub ve snaze nabídnout ostatním výzkumníkům modely umělé inteligence pro rozpoznávání obrazu, ale omylem přitom zveřejnil 38 TB osobních údajů zaměstnanců. Společnost Wiz, která se zabývá kybernetickou bezpečností, objevila v souborech odkaz, který obsahoval zálohy počítačů zaměstnanců společnosti Microsoft. Tyto zálohy obsahovaly hesla ke službám Microsoftu, tajné klíče a více než 30 000 interních zpráv Teams od stovek zaměstnanců, uvádí Wiz. Microsoft však ve své vlastní zprávě o incidentu ujišťuje, že nedošlo k odhalení žádných údajů zákazníků.

Odkaz byl k souborům přiložen záměrně, aby si zájemci z řad výzkumníků mohli stáhnout předtrénované modely. Výzkumníci Microsoftu využili funkci Azure nazvanou “SAS tokeny”, která dovolí uživatelům vytvářet sdílené odkazy, které umožňují ostatním lidem přístup k datům v jejich účtu Azure Storage. Uživatelé si mohou vybrat, k jakým informacím mohou prostřednictvím odkazů SAS přistupovat, ať už jde o jednotlivé soubory, nebo celé úložiště. V tomto případě výzkumníci omylem sdíleli odkaz, který měl přístup k celému úložišti.

Wiz objevil a nahlásil bezpečnostní problém Microsoftu 22. června a společnost už 23. června token SAS zrušila. Společnost Microsoft uvedla, že všechna svá veřejná úložiště neustále kontroluje, ale že její systém vyhodnotil tento konkrétní odkaz jako “falešně pozitivní”. Společnost od té doby problém opravila, takže její systém dokáže v budoucnu odhalit problematické tokeny SAS.

Zdroj: www.engadget.com