El equipo de inteligencia artificial de Microsoft filtra accidentalmente 38TB de datos privados de la empresa
Equipo IA de Microsoft filtra accidentalmente 38TB datos privados de la empresa
Investigadores de inteligencia artificial en Microsoft han cometido un gran error.
Según un nuevo informe de la compañía de seguridad en la nube Wiz, el equipo de investigación de inteligencia artificial de Microsoft filtró accidentalmente 38TB de datos privados de la compañía.
38 terabytes. Eso es mucha información.
Los datos expuestos incluían copias de seguridad completas de los ordenadores de dos empleados. Estas copias de seguridad contenían datos personales sensibles, incluyendo contraseñas de los servicios de Microsoft, claves secretas y más de 30,000 mensajes internos de Microsoft Teams de más de 350 empleados de Microsoft.
El tweet puede haber sido eliminado
Entonces, ¿cómo sucedió esto? El informe explica que el equipo de inteligencia artificial de Microsoft subió un conjunto de datos de entrenamiento que contenía código de código abierto y modelos de inteligencia artificial para reconocimiento de imágenes. Los usuarios que encontraron el repositorio de Github recibieron un enlace de Azure, el servicio de almacenamiento en la nube de Microsoft, para descargar los modelos.
Un problema: El enlace proporcionado por el equipo de inteligencia artificial de Microsoft daba a los visitantes acceso completo a toda la cuenta de almacenamiento de Azure. Y no solo podían ver todo en la cuenta, sino que también podían subir, sobrescribir o eliminar archivos.
Wiz dice que esto ocurrió como resultado de una característica de Azure llamada Tokens de Acceso Compartido (SAS), que es “una URL firmada que otorga acceso a los datos de almacenamiento de Azure”. El token SAS podría haber sido configurado con limitaciones sobre qué archivo o archivos se podían acceder. Sin embargo, este enlace en particular estaba configurado con acceso completo.
Añadiendo a los posibles problemas, según Wiz, parece que estos datos han estado expuestos desde 2020.
Wiz contactó a Microsoft a principios de este año, el 22 de junio, para advertirles sobre su descubrimiento. Dos días después, Microsoft invalidó el token SAS, cerrando el problema. Microsoft llevó a cabo y completó una investigación sobre las posibles repercusiones en agosto.
Microsoft proporcionó a ENBLE una declaración afirmando que “no se expusieron datos de clientes y no se pusieron en riesgo otros servicios internos debido a este problema”.