Подразделение Microsoft AI исследователи случайно слил 38ТБ частной компании данные при публикации обновлений учебных материалов по искусственному интеллекту с открытым исходным кодом на GitHub.
Утечка, которая происходила с июля 2020 года, была обнаружена исследователями компании Wiz, занимающейся облачной безопасностью, три года спустя.
По мнению Виза, открытые данные включало резервное копирование дисков рабочих станций двух сотрудников. Резервная копия диска содержала корпоративная тайна, приватные ключи, пароли, и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.
Исследователи из Wiz столкнулись с этой проблемой во время постоянного сканирования Интернета на предмет неправильно настроенных контейнеров хранения.
«Мы нашли репозиторий GitHub под названием организации Microsoft передача робастных моделей. Репозиторий принадлежит исследовательскому подразделению Microsoft в области искусственного интеллекта, и его цель — предоставить открытый исходный код и модели искусственного интеллекта для распознавания изображений», — заявили в компании.
объяснил в сообщении в блоге.Читателям репозитория GitHub было предложено загрузить модели с URL-адреса хранилища Azure. При совместном использовании файлов Microsoft использовала функцию Azure, называемую токенами подписи общего доступа (SAS), которая позволяет полностью контролировать общие файлы из учетных записей хранения Azure.
Хотя уровень доступа может быть ограничен только определенными файлами, исследователи отдела искусственного интеллекта случайно поделились ссылкой, которая был настроен на совместное использование всей учетной записи хранения, включая еще 38 ТБ личных файлов, что привело к утечке данных.
Помимо чрезмерно разрешающей области доступа, токен также был неправильно настроен, чтобы предоставлять разрешения «полного контроля» вместо «только для чтения». Это означало, что злоумышленник мог не только просмотреть все файлы в учетной записи хранения, но также удалить и перезаписать существующие файлы.
Wiz сообщил об инциденте в Центр реагирования безопасности Microsoft (MSRC) 22 июня 2023 г., который 24 июня 2023 г. аннулировал токен SAS, чтобы заблокировать весь внешний доступ к учетной записи хранения Azure.
Microsoft завершила расследование потенциального воздействия на организацию 16 августа 2023 г. и публично сообщила об инциденте в понедельник, 18 сентября 2023 г.
В консультативном опубликовано в понедельник, Команда MSRC сказал, "Нет данных о клиенте был незащищенный, и никакие другие внутренние службы не подверглись риску из-за этой проблемы. первопричина проблема для этого была зафиксированный, и теперь подтверждено, что система обнаруживает и правильно сообщает обо всех избыточных токенах SAS.
Он добавил: «Для решения этой проблемы не требуется никаких действий со стороны клиента. Наше расследование пришло к выводу, что в результате этого воздействия риска для клиентов не было».
