Różnego rodzaju wycieki danych w Internecie zdarzają się regularnie, ale rzadko są to wycieki aż tak spektakularne jak ten, którego dopuściła się firma Microsoft. Gigant z Redmond nieopatrznie upublicznił paczkę opiewającą na aż 38 TB różnego rodzaju treści. Dobrze przeczytaliście, Microsoft ujawnił 38 TB danych. O zgrozo, te były dostępne z poziomu publicznego repozytorium na GitHub przez 3 lata, w okresie od 20 lipca 2020 roku do 24 czerwca 2023 roku.
Wyciek danych z Microsoftu. 38 TB informacji w sieci
Między 20 lipca 2020 roku i 24 czerwca 2023 roku Microsoft udostępniał publicznie ogromne zasoby danych za pośrednictwem publicznego repozytorium GitHub. Zajmująca się kwestiami bezpieczeństwa w chmurze firma Wiz odkryła i zgłosiła problem znanemu producentowi oprogramowania 22 czerwca 2023 roku. W reakcji Microsoft naprawił swój błąd dwa dni później.
Szczegóły na temat zajścia ujawniono dopiero teraz, za pośrednictwem oficjalnego bloga Wiz.
Trywialny błąd
Eksperci z Wiz twierdzą, że Microsoft ujawnił 38 TB danych w repozytorium GitHub robust-models-transfer, nieprawidłowo korzystając z funkcji platformy Azure znanej jako tokeny sygnatury dostępu współdzielonego (SAS). Archiwum było wykorzystywane do przechowywania kodu open source i modeli sztucznej inteligencji do rozpoznawania obrazów. Zespół odpowiedzialny w Microsofcie za SI udostępniał swoje pliki za pośrednictwem zbyt liberalnego tokena SAS.
Tokeny SAS umożliwiają udostępnianie podpisanych adresów URL w celu zapewnienia szczegółowego dostępu do danych hostowanych w Azure Storage. Użytkownik może dostosować poziom dostępu, a konkretny token SAS zastosowany przez Microsoft wskazywał na źle skonfigurowany zasobnik Azure Storage, zawierający mnóstwo wrażliwych danych.
Poszkodowani także pracownicy Microsoftu
Według Wiz, oprócz danych szkoleniowych dla modeli sztucznej inteligencji, Microsoft ujawnił kopię zapasową dysków dwóch pracowników. Kopia zapasowa obejmowała poufne dane, prywatne klucze kryptograficzne, hasła i ponad 30 000 wewnętrznych wiadomości Microsoft Teams, należących do 359 pracowników Microsoftu.
Każdy mógł uzyskać dostęp do 38 TB danych ujawnionych przez Microsoft, przynajmniej do czasu unieważnienia przez Microsoft niebezpiecznego tokena SAS 24 czerwca 2023 roku.
Jak widać skala wycieków danych pozyskiwanych do trenowania modeli AI może być gigantyczna. Jak dane zostaną wykorzystane w nieodpowiednich rękach? Zapewne przekonamy się o tym za jakiś czas.
Źródło: Wiz.io