Los investigadores de inteligencia artificial de Microsoft expusieron accidentalmente terabytes de datos internos sensibles

A帽adir a tus IAs favoritasQuitar de tus favoritasQuitar de favoritos 0
Puntuaci贸n0

2023-09-19 18:30:26

Puntos destacados:

– 馃敀 Investigadores de Microsoft AI expusieron accidentalmente decenas de terabytes de datos sensibles, incluyendo claves privadas y contrase帽as, al publicar un repositorio de almacenamiento de datos de entrenamiento de c贸digo abierto en GitHub.
– 馃 Se descubri贸 que el repositorio de GitHub perteneciente a la divisi贸n de investigaci贸n de AI de Microsoft estaba mal configurado, otorgando permisos a toda la cuenta de almacenamiento y exponiendo datos privados adicionales.
– 馃洝锔 La empresa de seguridad en la nube Wiz notific贸 a Microsoft sobre el problema, y la compa帽铆a tom贸 medidas para asegurar los datos expuestos.

Los investigadores de Microsoft AI expusieron accidentalmente decenas de terabytes de datos sensibles, incluyendo claves privadas y contrase帽as, al publicar un repositorio de almacenamiento de datos de entrenamiento de c贸digo abierto en GitHub, seg煤n inform贸 la startup de seguridad en la nube Wiz. La compa帽铆a descubri贸 un repositorio en GitHub perteneciente a la divisi贸n de investigaci贸n de AI de Microsoft como parte de su trabajo para investigar la exposici贸n accidental de datos alojados en la nube.

Los lectores del repositorio de GitHub, que proporcionaba c贸digo fuente abierto y modelos de IA para reconocimiento de im谩genes, recibieron instrucciones para descargar los modelos desde una URL de Azure Storage. Sin embargo, Wiz descubri贸 que esta URL estaba configurada para otorgar permisos en toda la cuenta de almacenamiento, exponiendo datos privados adicionales por error.

Estos datos inclu铆an 38 terabytes de informaci贸n sensible, incluyendo las copias de seguridad personales de dos empleados de Microsoft. Los datos tambi茅n conten铆an otros datos personales sensibles, como contrase帽as de los servicios de Microsoft, claves secretas y m谩s de 30,000 mensajes internos de Microsoft Teams de cientos de empleados de Microsoft.

La URL, que hab铆a expuesto estos datos desde 2020, tambi茅n estaba mal configurada para permitir 芦control total禄 en lugar de permisos de solo lectura, seg煤n Wiz. Esto significaba que cualquier persona que supiera d贸nde buscar podr铆a potencialmente borrar, reemplazar o inyectar contenido malicioso en ellos.

Wiz se帽ala que la cuenta de almacenamiento no fue expuesta directamente. En cambio, los desarrolladores de AI de Microsoft incluyeron un token de firma de acceso compartido (SAS) con permisos excesivamente permisivos en la URL. Los tokens SAS son un mecanismo utilizado por Azure que permite a los usuarios crear enlaces compartibles que otorgan acceso a los datos de una cuenta de almacenamiento de Azure.

芦AI desbloquea un enorme potencial para las empresas de tecnolog铆a禄, dijo Ami Luttwak, cofundador y CTO de Wiz. 芦Sin embargo, a medida que los cient铆ficos de datos y los ingenieros se apresuran a llevar nuevas soluciones de IA a producci贸n, los enormes vol煤menes de datos que manejan requieren controles de seguridad y salvaguardas adicionales. Con muchos equipos de desarrollo que necesitan manipular grandes cantidades de datos, compartirlos con sus compa帽eros o colaborar en proyectos de c贸digo abierto p煤blicos, casos como el de Microsoft son cada vez m谩s dif铆ciles de controlar y evitar禄.

Wiz dijo que comparti贸 sus hallazgos con Microsoft el 22 de junio, y Microsoft revoc贸 el token SAS dos d铆as despu茅s, el 24 de junio. Microsoft complet贸 su investigaci贸n sobre el impacto potencial en la organizaci贸n el 16 de agosto.

En una publicaci贸n de blog compartida con TechCrunch antes de su publicaci贸n, el Centro de Respuesta de Seguridad de Microsoft afirm贸 que 芦no se expuso ning煤n dato del cliente y no se pusieron en riesgo otros servicios internos debido a este problema禄.

Microsoft dijo que como resultado de la investigaci贸n de Wiz, ha ampliado el servicio de b煤squeda de secretos de GitHub, que monitorea todos los cambios de c贸digo fuente abierto p煤blico en busca de exposici贸n de credenciales y otros secretos en texto plano, para incluir cualquier token SAS que pueda tener expiraciones o privilegios excesivamente permisivos.

Deja una opini贸n

Deje una respuesta

馃 AI MAFIA
Logo