El área de IA de Microsoft otorgó permiso de acceso a un repositorio de GitHub, que almacenaba información confidencial de los colaboradores de la compañía.
Los investigadores de inteligencia artificialEs la combinación de algoritmos planteados con el propósito de crear máquinas que presenten las mismas capacidades que el ser humano. Fuente: opensource.org (IA) de Microsoft expusieron decenas de terabytes de datos confidenciales como claves privadas y contraseñas.
Cuando publicaban un depósito de almacenamiento de datos de código abierto en GitHub.
Asegura una investigación del sitio TechCrunch y la firma de seguridad en la nube, Wiz
La empresa de ciberseguridad descubrió un repositorio de GitHub, perteneciente a la división de investigación de IA de Microsoft, como parte de su trabajo en la exposición accidental de datos alojados en la nube.
Los lectores del repositorio, que proporcionaba código fuente abierto y modelos de IA para el reconocimiento de imágenes, recibieron instrucciones para descargar los modelos desde una URL de Azure Storage.
Donde Wiz descubrió que esta URL estaba configurada para otorgar permisos en toda la cuenta de almacenamiento, exponiendo por error datos privados adicionales.
Los cuales incluían 38 terabytes de información confidencial como copias de seguridad personales de empleados de Microsoft.
Contraseñas de servicios, claves secretas y más de 30 mil mensajes internos de Microsoft Teams de cientos de empleados del gigante tecnológico.
Dicha URL, que había expuesto los datos desde 2020, también estaba mal configurada, al permitir “control total” en lugar de permisos de “solo lectura”.
“Cualquiera que supiera dónde buscar podría eliminar, reemplazar e inyectar contenido malicioso”, dijo Wiz.
Pero, detalla que la cuenta de almacenamiento no quedó expuesta directamente.
Sino que los desarrolladores de Microsoft AI incluyeron un token de firma de acceso compartido (SAS) demasiado permisivo en la URL.
Los SAS son un mecanismo, que permite a los usuarios crear vínculos compartibles para dar acceso a los datos de una cuenta de Azure Storage.
Aseguran que ya arreglaron el problema
Wiz dijo que compartió sus hallazgos con Microsoft el 22 de junio, quien revocó el token SAS dos días después.
Microsoft dijo que completó su investigación sobre el posible impacto organizacional el 16 de agosto.
El Centro de Respuesta de Seguridad de la compañía dijo a TechCrunch que “no se expusieron datos de clientes y ningún otro servicio interno se puso en riesgo debido a este problema”.
Además de ampliar el servicio de extensión secreta de GitHub, que monitorea todos los cambios públicos en el código de fuente abierta.
“La IA abre un enorme potencial; sin embargo, a medida que los científicos de datos se apresuran para llevar a producción nuevas soluciones de IA, las enormes cantidades de datos que manejan requieren controles y salvaguardas de seguridad adicionales.
“Dado que muchos equipos de desarrollo necesitan manipular cantidades masivas de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar”.
Destacó el director de tecnología de Wiz, Ami Luttwa.