Διέρρευσαν 38TB δεδομένων από ερευνητές ΑΙ της Microsoft

Ερευνητές και επιστήμονες της Microsoft στον τομέα της ΑΙ υπέπεσαν σε μια γκάφα καθώς διέρρευσαν ιδιωτικά δεδομένα της εταιρείας συνολικού όγκου 38 TB, ενώ συνεισέφεραν σε ένα αρχείο GitHub που αφορούσε την ανάπτυξη ανοιχτού κώδικα μοντέλων AI αναγνώρισης εικόνας.

Η διαρροή αυτή, σύμφωνα με έκθεση της Wiz, προκλήθηκε από ένα λανθασμένα ρυθμισμένο SAS token, το οποίο είναι ένα χαρακτηριστικό του Azure Storage και επιτρέπει στους χρήστες να δημιουργούν συνδέσμους κοινής χρήσης για δεδομένα στον Azure Storage λογαριασμό τους. Οι εν λόγω ερευνητές μοιράστηκαν, όμως ένα link το οποίο έδινε κατά λάθος πρόσβαση σε όλα τα δεδομένα του αρχείου τους. 

Το περιεχόμενο που διέρρευσε περιλάμβανε αντίγραφα ασφαλείας των υπολογιστών δύο υπαλλήλων της Microsoft, κωδικούς πρόσβασης σε υπηρεσίες, μυστικά κλειδιά και πάνω από 30.000 μηνύματα από το chat του Teams που αντάλλαξαν οι εργαζόμενοι της Microsoft. 

Η γνωστή εταιρία κυβερνοασφάλειας Wiz ήταν αυτή που ανακάλυψε τη διαρροή στις 22 Ιουνίου 2023 και την ανέφερε στην Microsoft, η οποία με τη σειρά της ανακάλεσε το SAS token και διεξήγαγε ενδελεχή έρευνα για τα αίτια. Τόνισε ωστόσο, η Microsoft ότι δεν διέρρευσαν δεδομένα πελατών ούτε τέθηκαν σε κίνδυνο άλλες εσωτερικές της υπηρεσίες. 

Ως αποτέλεσμα αυτής της γκάφας, η Microsoft διόρθωσε το ζήτημα όπως ανέφερε σε ειδικό blog post της και προτείνει μερικές μεθόδους καλύτερης αντιμετώπισης του ζητήματος.