Los investigadores de inteligencia artificial de Microsoft expusieron accidentalmente terabytes de datos internos sensibles

Añadir a tus IAs favoritasQuitar de tus favoritasQuitar de favoritos 0
Puntuación0

2023-09-19 18:30:26

Puntos destacados:

– 🔒 Investigadores de Microsoft AI expusieron accidentalmente decenas de terabytes de datos sensibles, incluyendo claves privadas y contraseñas, al publicar un repositorio de almacenamiento de datos de entrenamiento de código abierto en GitHub.
– 🤖 Se descubrió que el repositorio de GitHub perteneciente a la división de investigación de AI de Microsoft estaba mal configurado, otorgando permisos a toda la cuenta de almacenamiento y exponiendo datos privados adicionales.
– 🛡️ La empresa de seguridad en la nube Wiz notificó a Microsoft sobre el problema, y la compañía tomó medidas para asegurar los datos expuestos.

Los investigadores de inteligencia artificial de Microsoft expusieron accidentalmente terabytes 2023-09-19 18:30:26

Los investigadores de Microsoft AI expusieron accidentalmente decenas de terabytes de datos sensibles, incluyendo claves privadas y contraseñas, al publicar un repositorio de almacenamiento de datos de entrenamiento de código abierto en GitHub, según informó la startup de seguridad en la nube Wiz. La compañía descubrió un repositorio en GitHub perteneciente a la división de investigación de AI de Microsoft como parte de su trabajo para investigar la exposición accidental de datos alojados en la nube.

Los lectores del repositorio de GitHub, que proporcionaba código fuente abierto y modelos de IA para reconocimiento de imágenes, recibieron instrucciones para descargar los modelos desde una URL de Azure Storage. Sin embargo, Wiz descubrió que esta URL estaba configurada para otorgar permisos en toda la cuenta de almacenamiento, exponiendo datos privados adicionales por error.

Estos datos incluían 38 terabytes de información sensible, incluyendo las copias de seguridad personales de dos empleados de Microsoft. Los datos también contenían otros datos personales sensibles, como contraseñas de los servicios de Microsoft, claves secretas y más de 30,000 mensajes internos de Microsoft Teams de cientos de empleados de Microsoft.

La URL, que había expuesto estos datos desde 2020, también estaba mal configurada para permitir «control total» en lugar de permisos de solo lectura, según Wiz. Esto significaba que cualquier persona que supiera dónde buscar podría potencialmente borrar, reemplazar o inyectar contenido malicioso en ellos.

Wiz señala que la cuenta de almacenamiento no fue expuesta directamente. En cambio, los desarrolladores de AI de Microsoft incluyeron un token de firma de acceso compartido (SAS) con permisos excesivamente permisivos en la URL. Los tokens SAS son un mecanismo utilizado por Azure que permite a los usuarios crear enlaces compartibles que otorgan acceso a los datos de una cuenta de almacenamiento de Azure.

«AI desbloquea un enorme potencial para las empresas de tecnología», dijo Ami Luttwak, cofundador y CTO de Wiz. «Sin embargo, a medida que los científicos de datos y los ingenieros se apresuran a llevar nuevas soluciones de IA a producción, los enormes volúmenes de datos que manejan requieren controles de seguridad y salvaguardas adicionales. Con muchos equipos de desarrollo que necesitan manipular grandes cantidades de datos, compartirlos con sus compañeros o colaborar en proyectos de código abierto públicos, casos como el de Microsoft son cada vez más difíciles de controlar y evitar».

Wiz dijo que compartió sus hallazgos con Microsoft el 22 de junio, y Microsoft revocó el token SAS dos días después, el 24 de junio. Microsoft completó su investigación sobre el impacto potencial en la organización el 16 de agosto.

En una publicación de blog compartida con TechCrunch antes de su publicación, el Centro de Respuesta de Seguridad de Microsoft afirmó que «no se expuso ningún dato del cliente y no se pusieron en riesgo otros servicios internos debido a este problema».

Microsoft dijo que como resultado de la investigación de Wiz, ha ampliado el servicio de búsqueda de secretos de GitHub, que monitorea todos los cambios de código fuente abierto público en busca de exposición de credenciales y otros secretos en texto plano, para incluir cualquier token SAS que pueda tener expiraciones o privilegios excesivamente permisivos.

Deja una opinión

      Deje una respuesta

      🤖 AI MAFIA
      Logo