Исследовательская группа Microsoft по искусственному интеллекту, которая загрузила обучающие данные на GitHub, пытаясь предложить другим исследователям открытый исходный код и модели искусственного интеллекта для распознавания изображений, случайно раскрыла 38 ТБ личных данных. Wiz, фирма по кибербезопасности, обнаруженный ссылка, включенная в файлы, содержащие резервные копии компьютеров сотрудников Microsoft. По словам Wiz, эти резервные копии содержали пароли к службам Microsoft, секретные ключи и более 30 000 внутренних сообщений Teams от сотен сотрудников технологического гиганта. Microsoft уверяет в своем собственный отчет Однако в ходе инцидента «никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подверглись риску».
Ссылка была намеренно включена в файлы, чтобы заинтересованные исследователи могли загрузить предварительно обученные модели — эта часть не была случайной. Исследователи Microsoft использовали функцию Azure под названием «токены SAS», которая позволяет пользователям создавать общие ссылки, которые предоставляют другим людям доступ к данным в их учетной записи хранения Azure. Пользователи могут выбирать, к какой информации можно получить доступ через ссылки SAS, будь то отдельный файл, полный контейнер или все их хранилище. В случае с Microsoft исследователи поделились ссылкой, по которой был доступ к полной учетной записи хранения.
Wiz обнаружил проблему безопасности и сообщил о ней в Microsoft 22 июня, а к 23 июня компания отозвала токен SAS. Microsoft также объяснила, что повторно сканирует все свои публичные репозитории, но ее система пометила эту конкретную ссылку как «ложное срабатывание». ” С тех пор компания устранила проблему, и ее система может обнаруживать токены SAS, которые слишком разрешительным, чем предполагалось в будущем. Хотя конкретная ссылка, обнаруженная Wiz, была исправлена, неправильно настроенные токены SAS потенциально могут привести к утечке данных и серьезным проблемам с конфиденциальностью. Microsoft признает, что «токены SAS необходимо создавать и использовать соответствующим образом», а также опубликовала список лучших практик их использования, которые она предположительно (и надеюсь) применяет сама.
Нажмите здесь, чтобы узнать больше новостей