Microsoft случайно загрузила в открытый доступ 38 ТБ персональных данных

Исследовательская группа Microsoft, загрузившая обучающие данные на GitHub, чтобы предложить другим исследователям открытый код и модели искусственного интеллекта для распознавания изображений, ненамеренно выложила 38 ТБ персональных данных. Об этом сообщила компания Wiz.

Компания Wiz, специализирующаяся на кибербезопасности, обнаружила ссылки в файлах, содержащих резервные копии компьютеров сотрудников Microsoft. Эти резервные копии содержали пароли для сервисов Microsoft, секретные ключи и более 30 000 внутренних сообщений Teams от сотен сотрудников технологического гиганта. Однако в своем отчете об инциденте Microsoft уверяет, что "данные клиентов не пострадали, и никакие другие внутренние сервисы не были поставлены под угрозу".

Ссылка была намеренно добавлена в файлы, чтобы заинтересованные исследователи могли скачать предварительно обученные модели – это не было случайностью. Исследователи Microsoft использовали функцию Azure под названием "SAS-токен", позволяющую пользователям создавать общие ссылки, предоставляющие другим людям доступ к данным в их учетной записи Azure Storage. Пользователи могут выбрать, к какой информации можно получить доступ через ссылку SAS: к отдельному файлу, полному контейнеру или всему хранилищу. В случае с Microsoft исследователи поделились ссылкой, которая предоставляла доступ к полной учетной записи хранилища.

Wiz обнаружила проблему безопасности и сообщила о ней Microsoft 22 июня, и компания отозвала токен SAS до 23 июня. Microsoft также объяснила, что сканирует все свои публичные хранилища, но ее система обозначила эту конкретную ссылку как "ложноположительную". С тех пор компания исправила эту проблему, так что в будущем ее система сможет обнаруживать токены SAS, которые открыты больше, чем предполагалось.