Служители на изследователския отдел на Microsoft, специализиран в областта на изкуствения интелект, случайно са споделили няколко десетки терабайта поверителни данни, включително пароли и частни ключове.
Информацията е била разкрита при публикуването на масив от данни за обучение в проект с отворен код в GitHub.
Потребителите на публично достъпното хранилище в GitHub са получили достъп до изходния код и модела на изкуствения интелект за разпознаване на изображения, както и възможност за изтегляне на материали чрез URL от хранилището Azure. Експертите от стартъпа за сигурност в облака Wiz установиха, че URL адресът е дал на потребителя пълен достъп до хранилището в облака, включително 38 Тбайта чувствителна информация, включително резервни копия на личните компютри на двама служители на Microsoft. Масивът включвал и пароли за услуги на Microsoft, секретни ключове за достъп и повече от 30 000 съобщения от месинджъра Microsoft Teams от няколкостотин служители на Microsoft.
URL адресът, достъпен от 2020 г., съдържаше споделен токен за подпис, който не само позволяваше да се четат данни от хранилището Azure, но и даваше привилегии за добавянето и редактирането им - всеки можеше да публикува злонамерено съдържание там. Wiz съобщи за откритието си на Microsoft на 22 юни, а токенът за привилегирован достъп беше отнет на 24 юни. Разследването на инцидента от страна на корпорацията приключи на 16 август.
В резултат на инцидента "никакви данни на клиенти не са били изложени на риск и други вътрешни услуги не са били компрометирани поради този проблем", според Microsoft. Компанията разшири възможностите за сигурност на GitHub, като включи нови функции за контрол на разкриването на идентификационни данни и друга чувствителна информация - включително споделени токени, които могат да имат изключително широки привилегии и дълъг срок на валидност.
Вижте всички актуални новини от Standartnews.com
