Pesquisadores de IA da Microsoft espalham por engano 38 TB de dados da empresa

A Microsoft, uma das maiores empresas de tecnologia do mundo, foi vítima de uma falha de segurança que expôs dados pessoais dos seus funcionários. O incidente aconteceu quando a equipa de pesquisa de AI da empresa fez o upload de dados de treinamento em um repositório público do GitHub. A vulnerabilidade permitiu que uma empresa de segurança cibernética, a Wiz, descobrisse um link com backups dos computadores de funcionários da Microsoft, incluindo senhas, chaves secretas e mensagens do Teams. Ao todo, foram expostos cerca de 38TB de dados pessoais.

Segundo informações divulgadas pela Microsoft, nenhum dado de clientes foi exposto e nenhum outro serviço interno da empresa foi prejudicado. O link foi deliberadamente incluído para que os pesquisadores pudessem baixar modelos pré-treinados, mas foi criado usando um recurso do Azure chamado “tokens SAS”, que permitia o acesso à conta de armazenamento completa.

A Wiz descobriu e relatou o problema de segurança à Microsoft, que revogou o token SAS no dia seguinte e corrigiu o problema para que o sistema possa detectar tokens SAS que sejam muito permissivos no futuro. Ainda assim, o incidente expõe as vulnerabilidades que as empresas enfrentam ao lidar com grandes quantidades de dados.

A Microsoft divulgou uma lista de melhores práticas ao usar tokens SAS, enfatizando a importância de limitar o acesso aos dados e garantir que apenas os usuários autorizados tenham acesso aos dados confidenciais.

A Microsoft também explicou que verifica novamente todos os seus repositórios públicos, mas o seu sistema marcou esse link específico como um “falso positivo”. ” Desde então, a empresa corrigiu o problema, para que o seu sistema possa detectar tokens SAS que sejam muito permissivos do que o pretendido no futuro. Embora o link específico detectado pelo Wiz tenha sido corrigido conforme indicado acima, as tokens SAS configuradas incorretamente podem levar a leak de dados e grandes problemas de privacidade. A Microsoft reconhece que “os tokens SAS precisam de ser criados e manuseados adequadamente” e também publicou uma lista de práticas recomendadas ao usá-los, que ela mesma provavelmente (e esperançosamente) pratica.

DEIXE UMA RESPOSTA

Por favor digite seu comentário!
Por favor, digite seu nome aqui