Microsoft випадково завантажила у відкритий доступ 38 ТБ персональних даних

Дослідницька група Microsoft, яка завантажила навчальні дані на GitHub, щоб запропонувати іншим дослідникам відкритий код і моделі штучного інтелекту для розпізнавання зображень, ненавмисно виклала 38 ТБ персональних даних. Про це повідомила компанія Wiz. 

Компанія Wiz, що спеціалізується на кібербезпеці, виявила посилання у файлах, що містили резервні копії комп'ютерів співробітників Microsoft. Ці резервні копії містили паролі до сервісів Microsoft, секретні ключі та понад 30 000 внутрішніх повідомлень Teams від сотень співробітників технологічного гіганта. Однак у власному звіті про інцидент Microsoft запевняє, що "жодні дані клієнтів не постраждали й жодні інші внутрішні сервіси не були поставлені під загрозу".

Посилання було навмисно додано до файлів, щоб зацікавлені дослідники могли завантажити попередньо навчені моделі – це не було випадковістю. Дослідники Microsoft використовували функцію Azure під назвою "SAS-токен", яка дозволяє користувачам створювати спільні посилання, що надають іншим людям доступ до даних у їхньому обліковому записі Azure Storage. Користувачі можуть вибирати, до якої інформації можна отримати доступ через посилання SAS: до окремого файлу, повного контейнера або всього сховища. У випадку з Microsoft дослідники поділилися посиланням, яке надавало доступ до повного облікового запису сховища.

Wiz виявила проблему безпеки і повідомила про неї Microsoft 22 червня, і компанія відкликала токен SAS до 23 червня. Microsoft також пояснила, що сканує всі свої публічні сховища, але її система позначила це конкретне посилання як "хибнопозитивне". Відтоді компанія виправила цю проблему, тож у майбутньому її система зможе виявляти токени SAS, які є відкритими більше, ніж передбачалося.