Исследователи безопасности обнаружили открытое облачное хранилище, в которое сотрудники Microsoft несколько лет загружали конфиденциальную информацию для формирования моделей искусственного интеллекта. Также была скомпрометирована конфиденциальная информация сотрудников.
Специалисты компании Wiz, которая занимается вопросами безопасности облачных сервисов, выявили масштабную утечку информации из корпорации Microsoft. Сотрудники ее исследовательского подразделения в области искусственного интеллекта начиная с июля 2020 г. скомпрометировали терабайты конфиденциальной информации, когда размещали модели обучения ИИ в общедоступном репозитории GitHub. Утечка данных была обнаружена компанией Wiz после того, как сотрудник Microsoft случайно поделился URL-адресом неправильно настроенного кластера в облачном хранилище Azure Blob.
Раскрытие внутренних данных Microsoft связано с некорректным использованием токена Shared Access Signature (SAS). Эти инструменты Wiz называет очень сложными для мониторинга и отзыва, поскольку Microsoft не предоставляет централизованный способ управления ими на портале Azure. Кроме того, у этих токенов нет верхнего предела срока действия, их могут использовать практически вечно. «Поэтому использование SAS для внешнего совместного использования небезопасно, и их следует избегать», — советуют эксперты компании Wiz.
Также исследователи обнаружили, что через облачный кластер Azure Blob помимо данных о моделях ИИ могли утекать персональные данные сотрудников Microsoft. Размещенная в незащищенном облаке информация включала пароли для различных сервисов Microsoft, секретные ключи, а также архив из более чем 30 тыс. сообщений, относящихся к переписке 359 сотрудников.
В сообщении, которое в понедельник, 18 сентября, разместила группа Microsoft Security Response Center (MSRC), отмечается, что в ходе инцидента не были раскрыты данные клиентов, и никакие другие службы корпорации не подверглись опасности.
Известно, что Wiz обнаружила инцидент 22 июня 2023 г. Исследователи оперативно сообщили о проблеме в MSRC. Сотрудники службы Microsoft по реагированию на инциденты отозвали токен SAS, чтобы заблокировать внешний доступ к учетной записи Azure. Таким образом проблему удалось решить 24 июня.
Год назад, в сентябре 2022 г. компания SOCRadar, занимающаяся разведкой угроз, обнаружила еще один неправильно настроенный облачный кластер Azure Blob Storage, принадлежащий Microsoft. В облаке хранились файлы 2017-2022 годов, относящиеся к истории взаимодействия с более чем 65 тыс. организаций из 111 стран. Позже в Microsoft заявили, что сотрудники SOCRadar «серьезно преувеличили масштабы проблемы» и назвали завышенные цифры.