Microsoft greškom objavio 38 TB osetljivih podataka kompanije uključujući interne Teams poruke

Istraživački AI Microsoft tim u nastojanju da ponudi drugim istraživačima otvoreni kod i AI modele za prepoznavanje slika nehotice je izložio 38 TB osetljivih podataka kompanije na internet. Wiz, firma za sajber bezbednost otkrila je link koji uključuje podatke koji sadrže rezervne kopije računara zaposlenih koje je Microsoft greškom objavio.

Te rezervne kopije sadržale su lozinke za Microsoft usluge, tajne ključeve i više od 30 hiljada internih poruka od stotina zaposlenih u ovom tehnološkom gigantu. Međutim, kompanija u izveštaju o incidentu uverava da „nikakvi podaci o klijentima nisu bili izloženi“, te da nijedna druga interna usluga nije bila izložena riziku.

Link je navodno namerno bio uključen sa fajlovima kako bi zainteresovani istraživači mogli da preuzmu obučene modele veštačke inteligencije (AI). Microsoft istraživači su koristili Azure funkciju pod nazivom „SAS tokeni“ koja omogućava korisnicima da kreiraju linkove za deljenje koji drugima daju pristup na njihovom Azure Storage nalogu.

Korisnici ovih funkcija mogu da biraju kojim informacijama se može pristupiti preko SAS linkova, bilo da se radi o jednom fajlu, folderu ili celom skladištu. U ovom slučaju, istraživači su podelili link koji je davao pristup kompletnom nalogu za skladištenje podataka.

Wiz

Firma za sajber bezbednost je otkrila i prijavila problem tehnološkom gigantu još 22. juna, a već do sledećeg dana Microsoft je opozvao SAS token. Kako piše PCGamer, to znači da su ovi podaci bili javno izloženi čak tri godine.

Iako je problematični link koji je Wiz otkrio popravljen, nepravilno konfigurisani SAS tokeni mogu potencijalno dovesti do novog curenja podataka i velikih problema sa privatnošću. Kompanija još navodi da ponovo skenira svoja javna skladišta i da njen sistem u budućnosti može da otkrije tokene koji otkrivaju više nego što bi trebalo u budućnosti.