Naukowcy Microsoftu, którzy pochylają się nad tworzeniem algorytmów wykorzystujących sztuczną inteligencję, popełnili dość poważny błąd. W trybie danych open source ulokowali odnośnik do ogromu danych firmowych, w tym wewnętrznych rozmów pracowników. Jak do tego doszło?
Omyłkowe udostępnienie danych pracowników
Zespół badaczy, który od dłuższego czasu prowadzi intensywne prace związane z narzędziami, wykorzystującymi algorytmy sztucznej inteligencji, omyłkowo udostępnił 38 TB danych. Naukowcy udostępnili innym specjalistom kod open source, modele AI oraz informacje szkoleniowe w serwisie GitHub. Wraz z oferowanymi pomocami dla innych firm w postaci otwartych plików, naukowcy wypuścili również spore ilości danych osobowych.
Za odkrycie odpowiedzialna jest firma Wiz, która na co dzień zajmuje się cyberbezpieczeństwem. Pośród plików odnaleziono łącze, które kierowało wprost do kopii zapasowej komputerów należących do pracowników firmy Microsoft.
Jakie dane udostępnił Microsoft?
Wśród ujawnionych przypadkowo danych znalazły się liczne hasła do usług tego giganta technologicznego, a także tajne klucze. To jednak nie wszystko, Wiz dotarł też do ponad 30 tysięcy wiadomości przesyłanych w trybie wewnętrznym Teams, wychodzących od setek pracowników Microsoftu.
Gigant zabrał już głos w tej sprawie i wprowadził odpowiednie ograniczenia ekspozycji danych. Firma zaznaczyła jednak, że nie wyciekły żadne dane klientów, nie ma również możliwości, aby usługi wewnętrzne były w jakiś sposób zagrożone.
Link został celowo dołączony do plików, aby możliwe było pobranie wytrenowanych przez Microsoft modeli. Do tego rozwiązania badacze wykorzystali platformę Azure z funkcją tokenów SAS. Taki sposób pozwolił na utworzenie łączy, dzięki czemu inni użytkownicy mogli uzyskać dane z Azure Storage.
Tutaj jednak pracownicy trochę zawiedli, gdyż zamiast skierować zewnętrznych badaczy do pojedynczego pliku, dali dostęp do całej pamięci masowej w tej lokalizacji. Wiz odkrył tę sytuację w dniu 22 czerwca, Microsoft natomiast zareagował i unieważnił token SAS już następnego dnia.