Đội ngũ trí tuệ nhân tạo Microsoft vô tình rò rỉ 38TB dữ liệu riêng của công ty

Đội nghiên cứu trí tuệ nhân tạo của Microsoft đã mắc phải một sai lầm lớn.

Theo một báo cáo mới từ công ty bảo mật đám mây Wiz, nhóm nghiên cứu trí tuệ nhân tạo của Microsoft đã vô tình rò rỉ 38 terabytes dữ liệu riêng tư của công ty.

38 terabytes. Đó là một lượng dữ liệu rất lớn.

Dữ liệu đã bị lộ bao gồm bản sao lưu đầy đủ của hai máy tính của nhân viên. Những bản sao lưu này chứa dữ liệu cá nhân nhạy cảm, bao gồm mật khẩu dịch vụ của Microsoft, các khóa bí mật và hơn 30.000 tin nhắn nội bộ từ hơn 350 nhân viên của Microsoft trên Microsoft Teams.

Vậy, điều gì đã xảy ra? Báo cáo giải thích rằng nhóm trí tuệ nhân tạo của Microsoft đã tải lên một thùng chứa dữ liệu huấn luyện chứa mã nguồn mở và mô hình trí tuệ nhân tạo cho nhận dạng hình ảnh. Người dùng ngẫu nhiên gặp phải kho lưu trữ Github được cung cấp một liên kết từ Azure, dịch vụ lưu trữ đám mây của Microsoft, để tải xuống các mô hình.

Vấn đề là, liên kết được cung cấp bởi nhóm trí tuệ nhân tạo của Microsoft đã cho phép người truy cập truy cập hoàn toàn vào tài khoản lưu trữ Azure. Và không chỉ có thể xem tất cả mọi thứ trong tài khoản, họ còn có thể tải lên, ghi đè hoặc xóa các tệp tin.

Wiz nói rằng điều này đã xảy ra do tính năng của Azure có tên là Shared Access Signature (SAS) tokens, đó là “một URL ký tên cấp quyền truy cập vào dữ liệu lưu trữ Azure.” SAS token có thể được thiết lập với giới hạn về các tệp tin có thể truy cập. Tuy nhiên, liên kết cụ thể này được cấu hình với quyền truy cập đầy đủ.

Thêm vào các vấn đề tiềm tàng, theo Wiz, dữ liệu này có vẻ đã bị lộ từ năm 2020.

Wiz đã liên hệ với Microsoft vào đầu năm nay, ngày 22 tháng 6, để cảnh báo về phát hiện của họ. Hai ngày sau đó, Microsoft đã vô hiệu hóa SAS token, khép kín vụ việc. Microsoft đã tiến hành và hoàn tất cuộc điều tra về những tác động tiềm năng vào tháng 8.

Microsoft cung cấp cho TechCrunch một tuyên bố, khẳng định “không có dữ liệu của khách hàng bị lộ, và không có dịch vụ nội bộ khác bị đặt trong tình trạng nguy hiểm vì vụ việc này.”

#Microsoft #Leak #Data #Cybersecurity #AI #Azure #Wiz #Privacy

Nguồn: https://mashable.com/article/microsoft-ai-researchers-leaked-private-data-azure-link-github

AI researchers at Microsoft have made a huge mistake.

According to a new report from cloud security company Wiz, the Microsoft AI research team accidentally leaked 38TB of the company’s private data.

38 terabytes. That’s a lot of data.

The exposed data included full backups of two employees’ computers. These backups contained sensitive personal data, including passwords to Microsoft services, secret keys, and more than 30,000 internal Microsoft Teams messages from more than 350 Microsoft employees.

So, how did this happen? The report explains that Microsoft’s AI team uploaded a bucket of training data containing open-source code and AI models for image recognition. Users who came across the Github repository were provided with a link from Azure, Microsoft’s cloud storage service, in order to download the models.

One problem: The link that was provided by Microsoft’s AI team gave visitors complete access to the entire Azure storage account. And not only could visitors view everything in the account, they could upload, overwrite, or delete files as well. 

Wiz says that this occurred as a result of an Azure feature called Shared Access Signature (SAS) tokens, which is “a signed URL that grants access to Azure Storage data.” The SAS token could have been set up with limitations to what file or files could be accessed. However, this particular link was configured with full access.

Adding to the potential issues, according to Wiz, is that it appears that this data has been exposed since 2020.

Wiz contacted Microsoft earlier this year, on June 22, to warn them about their discovery. Two days later, Microsoft invalidated the SAS token, closing up the issue. Microsoft carried out and completed an investigation into the potential impacts in August.

Microsoft provided TechCrunch with a statement, claiming “no customer data was exposed, and no other internal services were put at risk because of this issue.”


Leave a Reply

Your email address will not be published. Required fields are marked *