Microsoft випадково відкрила доступ до терабайтів конфіденційної інформації

Microsoft стала жертвою власної помилки, коли її науковці, що працюють над штучним інтелектом, ненавмисно розкрили кілька десятків терабайтів конфіденційної інформації.

Про це повідомляє TechCrunch.

Інцидент стався при публікації на GitHub проєкту з відкритим вихідним кодом, який мав на меті демонструвати можливості моделі ШІ для розпізнавання зображень. 

Проєкт містив посилання на URL-адресу з хмарного сховища Azure, де зберігалися навчальні дані для моделі. Однак ця URL-адреса не була захищена паролем або іншим способом автентифікації, а навпаки — надавала повний доступ до всього сховища, яке мало обсяг 38 ТБ.

Які конфіденційні дані було опубліковано у вільний доступ науковцями Microsoft 

У сховищі знаходилися не тільки навчальні дані, але й особиста інформація двох співробітників Microsoft, які створювали проєкт.

Серед неї були резервні копії їх ПК, паролі до служб Microsoft, секретні ключі доступу та понад 30 000 повідомлень з месенджера Microsoft Teams від кількох сотень інших співробітників.

Як есперти стартапу Wiz врятували Microsoft

Виявити цю проблему вдалося експертам з хмарної безпеки з стартапу Wiz, яким було цікаво подивитися на проєкт Microsoft.

Вони звернули увагу на URL-адресу з сховища Azure і виявили, що вона мала токен публiчного доступу (SAS), який дозволяв не тiльки читати данi зi сховища, але й надавав привiлеї для їх додавання та редагування. 

Експерти Wiz повiдомили про своє вiдкриття Microsoft 22 червня 2023 року, і 24 червня токен публiчного доступу було вiдкликано. Розслiдування iнциденту у корпорацiї завершили 16 серпня.

За словами представникiв Microsoft, завдяки своєчасній реакції, в результатi iнциденту не було розкрито клiєнтських даних.