El equipo de investigación en inteligencia artificial de Microsoft compartió involuntariamente un enlace que otorgaba a los visitantes permisos completos para acceder a 38TB de datos privados de la empresa.
Crédito: Omar Marques/SOPA Images/LightRocket via Getty Images
Los investigadores en inteligencia artificial de Microsoft han cometido un gran error.
De acuerdo con un nuevo informe de la empresa de seguridad en la nube Wiz, el equipo de investigación en inteligencia artificial de Microsoft filtró accidentalmente 38TB de datos privados de la empresa.
38 terabytes. Eso es una gran cantidad de datos.
Los datos expuestos incluían copias de seguridad completas de los equipos de dos empleados. Estas copias de seguridad contenían datos personales confidenciales, como contraseñas de los servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de más de 350 empleados de Microsoft.
Es posible que el tuit haya sido eliminado
Entonces, ¿cómo sucedió esto? El informe explica que el equipo de inteligencia artificial de Microsoft cargó un conjunto de datos de entrenamiento que contenía código fuente de código abierto y modelos de inteligencia artificial para el reconocimiento de imágenes. Los usuarios que encontraron el repositorio de Github recibieron un enlace de Azure, el servicio de almacenamiento en la nube de Microsoft, para descargar los modelos.
Un problema: El enlace proporcionado por el equipo de inteligencia artificial de Microsoft brindaba a los visitantes acceso completo a toda la cuenta de almacenamiento de Azure. Y no solo podían ver todo en la cuenta, también podían cargar, sobrescribir o eliminar archivos.
Wiz indica que esto ocurrió como resultado de una característica de Azure llamada Tokens de Firma de Acceso Compartido (SAS), que es "una URL firmada que otorga acceso a los datos de almacenamiento de Azure". El token SAS podría haberse configurado con limitaciones sobre qué archivo o archivos se podían acceder. Sin embargo, este enlace en particular estaba configurado con acceso completo.
Añadiendo a los posibles problemas, según Wiz, parece que estos datos han estado expuestos desde 2020.
Wiz contactó a Microsoft a principios de este año, el 22 de junio, para advertirles sobre su descubrimiento. Dos días después, Microsoft invalidó el token SAS, solucionando el problema. Microsoft llevó a cabo y completó una investigación sobre los posibles impactos en agosto.
Microsoft proporcionó a TechCrunch una declaración, afirmando que "no se expusieron datos de clientes y no se puso en riesgo ningún otro servicio interno debido a este problema".
Temas
