Microsoft deixa escapar 38TB de dados sensíveis em armazenamento inseguro
A equipa de investigação da Microsoft AI terá publicado acidentalmente milhares de dados sensíveis desde julho de 2020, enquanto se encontrava a contribuir para modelos de IA no GitHub.
De acordo com os investigadores da empresa de segurança Wiz, foi descoberto que um funcionário da Microsoft terá partilhado, sobre uma edição no GitHub, um link para um armazenamento da Azure, contendo dados sensíveis da empresa e de alguns dos seus funcionários.
O link direto para este armazenamento teria sido partilhado indevidamente no código fonte, como parte de uma contribuição da Microsoft para um modelo de IA. No entanto, o link não se encontrava limitado, e permitia a qualquer utilizador com acesso direto ao mesmo aceder aos conteúdos.
Os investigadores afirmam que o armazenamento continha mais de 38TB de dados que poderiam ser considerados sensíveis, e pertencentes à empresa. Estes dados incluíam dados como backups de funcionários da Microsoft, chaves de acesso, senhas e outras informações internas. No total, os investigadores apontam que existia informação de 359 funcionários da empresa – mas a extensão dos dados pode ser bastante mais alargada.
A Microsoft indica que a falha não expõe dados dos clientes, e que apenas informação interna e de alguns dos seus funcionários estaria acessível. Nenhum outro serviço da empresa foi também afetado pelo leak destes dados.
A empresa foi notificada da falha pelos investigadores a 22 de Junho de 2023, tendo o problema sido resolvido a 24 de Junho.
Os investigadores da Wiz afirmam que é necessário existirem métodos mais seguros de partilha de informação, sobretudo numa altura em que o treino de modelos de IA requer acesso a largas quantidades de dados para tal.