Согласно новому исследованию компании, занимающейся кибербезопасностью, группа исследователей искусственного интеллекта корпорации Microsoft случайно обнаружила большой кеш личных данных на платформе разработки программного обеспечения GitHub.
Команда компании Wiz, занимающейся облачной безопасностью, обнаружила утечку данных, размещенных в облаке, на платформе обучения искусственному интеллекту через неправильно настроенную ссылку. По словам Wiz, данные были раскрыты исследовательской группой Microsoft (MSFT) при публикации данных обучения с открытым исходным кодом на GitHub.
Пользователям репозитория было предложено загрузить модели ИИ из URL-адреса облачного хранилища. Но он был неправильно настроен для предоставления разрешений для всей учетной записи хранения, а также предоставлял пользователям разрешения на полный контроль, а не только на чтение, что означает, что они могли удалять и перезаписывать существующие файлы, согласно сообщению в блоге Wiz. По данным Wiz, раскрытые данные включали резервные копии персональных компьютеров сотрудников Microsoft, которые содержали пароли к службам Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft.
По мнению исследователей Wiz, обмен открытыми данными является ключевым компонентом обучения искусственному интеллекту, но обмен большими объемами данных подвергает компании большему риску в случае неправильного обмена. В июне Wiz поделилась этими данными с Microsoft, которая быстро приняла меры по удалению раскрытых данных, сказала Ами Латтвак, технический директор и соучредитель Wiz, добавив, что инцидент «могло быть хуже». На просьбу прокомментировать ситуацию представитель Microsoft сказал: «Мы подтвердили, что никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подверглись риску».
В сообщении в блоге, опубликованном в понедельник, Microsoft заявила, что расследовала и устранила инцидент, связанный с сотрудником Microsoft, который поделился URL-адресом в общедоступном репозитории GitHub для моделей обучения ИИ с открытым исходным кодом. Microsoft заявила, что данные, представленные в учетной записи хранения, включают резервные копии профилей рабочих станций двух бывших сотрудников и внутренние сообщения Microsoft Teams этих двух сотрудников с их коллегами.
По данным блога, кеш данных был обнаружен исследовательской группой Wiz, просканировавшей сеть на наличие неправильно настроенных контейнеров хранения, что является частью ее текущей работы по предотвращению случайного раскрытия данных, размещенных в облаке.
