Il team di AI di Microsoft rilascia accidentalmente 38TB di dati aziendali privati

Il team di AI di Microsoft rilascia 38TB di dati aziendali privati per errore.

I ricercatori di Intelligenza Artificiale presso Microsoft hanno commesso un enorme errore.

Secondo un nuovo rapporto della società di sicurezza informatica Wiz, il team di ricerca di Microsoft AI ha accidentalmente divulgato 38 terabyte di dati privati dell’azienda.

38 terabyte. È davvero moltissimi dati.

I dati esposti includevano backup completi dei computer di due dipendenti. Questi backup contenevano dati personali sensibili, tra cui password per i servizi Microsoft, chiavi segrete e più di 30.000 messaggi interni di Microsoft Teams provenienti da oltre 350 dipendenti Microsoft.

Il tweet potrebbe essere stato eliminato

• Esplora la capitale antica degli Aztechi in questa resa 3D realistica
• La trasparenza salariale sta spazzando gli Stati Uniti
• L’economia oscura di Russell Brand

Quindi, come è successo tutto ciò? Il rapporto spiega che il team di AI di Microsoft ha caricato un set di dati di addestramento contenente codice open source e modelli di intelligenza artificiale per il riconoscimento delle immagini. Gli utenti che hanno trovato il repository Github hanno ricevuto un link da Azure, il servizio di archiviazione cloud di Microsoft, per scaricare i modelli.

Un problema: il link fornito dal team di AI di Microsoft dava ai visitatori accesso completo all’intero account di archiviazione di Azure. E non solo i visitatori potevano vedere tutto nell’account, ma potevano anche caricare, sovrascrivere o eliminare file.

Wiz afferma che ciò è accaduto a causa di una funzionalità di Azure chiamata Shared Access Signature (SAS) tokens, che è “un URL firmato che concede accesso ai dati di archiviazione di Azure”. Il token SAS avrebbe potuto essere configurato con limitazioni su quali file potevano essere accessibili. Tuttavia, questo particolare link era configurato con accesso completo.

Aggravando i potenziali problemi, secondo Wiz, sembra che questi dati siano stati esposti dal 2020.

Wiz ha contattato Microsoft all’inizio di quest’anno, il 22 giugno, per avvisarli della loro scoperta. Due giorni dopo, Microsoft ha invalidato il token SAS, risolvendo così il problema. Microsoft ha condotto e completato un’indagine sugli impatti potenziali nell’agosto.

Microsoft ha fornito a ENBLE una dichiarazione, affermando che “nessun dato del cliente è stato esposto e nessun altro servizio interno è stato messo a rischio a causa di questo problema”.