Microsoft AI -divisioonan tutkijat vuotivat vahingossa 38 Tt yhtiön yksityistä dataa julkaistessaan avoimen lähdekoodin tekoälyn koulutusmateriaalipäivityksiä GitHubissa.
Heinäkuusta 2020 lähtien tapahtuneen vuodon havaitsivat pilvitietoturvayhtiö Wizin tutkijat kolme vuotta myöhemmin.
Microsoft AI Team paljastaa vahingossa 38 Tt yritystietoja
Wizin mukaan paljastettuihin tietoihin sisältyi kahden työntekijän työaseman levyvarmuuskopio. Levyn varmuuskopio sisälsi yrityssalaisuuksia, yksityisiä avaimia, salasanoja ja yli 30 000 sisäistä Microsoft Teams -viestiä 359 Microsoftin työntekijältä.
Wizin tutkijat havaitsivat ongelman, kun he etsivät Internetistä väärin määritettyjä säilytysastioita.
“Löysimme GitHub-arkiston Microsoft-nimisen organisaation alta vankka mallien siirto. Arkisto kuuluu Microsoftin tekoälytutkimusdivisioonaan, ja sen tarkoituksena on tarjota avoimen lähdekoodin koodia ja tekoälymalleja kuvantunnistusta varten, yhtiö kertoo. selitti blogikirjoituksessa.
GitHub-tietovaraston lukijoita kehotettiin lataamaan mallit Azure Storage -URL-osoitteesta. Jakaessaan tiedostoja Microsoft käytti Azure-ominaisuutta nimeltä Shared Access Signature (SAS) -tunnukset, joka mahdollistaa täydellisen hallinnan Azure Storage -tilien jaettujen tiedostojen hallintaan.
Vaikka käyttöoikeustaso voidaan rajoittaa vain tiettyihin tiedostoihin, tekoälyosaston tutkijat jakoivat vahingossa linkin, joka oli määritetty jakamaan koko tallennustili – mukaan lukien toiset 38 Tt yksityisiä tiedostoja, mikä johti tietojen vuotamiseen.
Liian sallivan käyttöoikeuden lisäksi tunnus oli myös määritetty väärin sallimaan “täyden hallinnan” käyttöoikeudet vain luku -käytön sijaan. Tämä tarkoitti, että hyökkääjä ei voinut vain tarkastella kaikkia tallennustilillä olevia tiedostoja, vaan hän voi myös poistaa ja korvata olemassa olevia tiedostoja.
Wiz ilmoitti tapauksesta Microsoft Security Response Centerille (MSRC) 22. kesäkuuta 2023, mikä mitätöi SAS-tunnuksen 24. kesäkuuta 2023 estääkseen kaiken ulkoisen pääsyn Azure-tallennustilille.
Microsoft sai päätökseen tutkimuksensa mahdollisista organisaatiovaikutuksista 16. elokuuta 2023 ja julkisti tapauksen maanantaina 18. syyskuuta 2023.
Neuvottelussa julkaistu MSRC-tiimi sanoi maanantaina: “Mitään asiakastietoja ei paljastettu, eikä muita sisäisiä palveluita vaarantunut tämän ongelman vuoksi. Tämän ongelman perimmäinen syy on korjattu, ja järjestelmän on nyt vahvistettu tunnistavan kaikki ylimääräiset SAS-tunnisteet ja raportoivan niistä oikein.
Se lisäsi: “Tähän ongelmaan vastaaminen ei vaadi asiakkaan toimia. Tutkimuksemme päätteli, että tämä altistuminen ei aiheuttanut riskiä asiakkaille.”
