Pesquisadores de IA da Microsoft expuseram acidentalmente terabytes de dados confidenciais
A Microsoft expôs dados confidenciais acidentalmente, incluindo chaves privadas e senhas ao publicar um repositório de IA no GitHub.
19/09/20232 minutos
Salvar
Pesquisadores de Inteligência Artificial (IA) da Microsoft tiveram um incidente embaraçoso quando expuseram acidentalmente dezenas de terabytes de dados confidenciais. Nesse sentido, os dados, incluindo chaves privadas e senhas, foram expostos enquanto os pesquisadores publicavam um repositório de armazenamento de dados de treinamento de código aberto no GitHub.
A startup de segurança em nuvem, Wiz, descobriu que um repositório do GitHub pertencente à divisão de pesquisa de IA da Microsoft estava configurado de maneira inadequada. Desse modo, expondo uma quantidade significativa de informações confidenciais. Além disso, o repositório oferecia código-fonte aberto e modelos de IA para reconhecimento de imagem. E para piorar, os leitores estavam sendo instruídos a baixar os modelos de uma URL de Armazenamento do Azure.
🚀Gostou do conteúdo? Então continue lendo as principais notícias do mercado de IA. 📩Assine a nossa newsletter e fique por dentro de tudo sobre a Inteligência Artificial. Foto: iStock
Exposição de Dados de Funcionários da Microsoft
A URL estava configurada para conceder permissões em toda a conta de armazenamento, resultando na exposição de 38 terabytes de informações confidenciais. Entre os dados expostos estavam backups pessoais de computadores de funcionários da Microsoft, o que já seria algo preocupante. Como se não bastasse, senhas de serviços da Microsoft, chaves secretas e milhares de mensagens do Microsoft Teams de centenas de funcionários também foram expostos. Além disso, a URL mal configurada também permitia permissões de "controle total", o que significava que qualquer pessoa com conhecimento poderia manipular os dados de forma maliciosa. A Microsoft tomou medidas corretivas após ser notificada pela Wiz e revogou o token de assinatura de acesso compartilhado (SAS) em questão. A empresa declarou que nenhum dado de cliente foi exposto e que nenhum outro serviço interno foi comprometido. Ela também expandiu seu serviço secreto do GitHub para monitorar tokens SAS com permissões excessivamente permissivas. Esse incidente destaca a importância de verificar e proteger adequadamente os dados confidenciais, não importa o tamanho da empresa. Mas especialmente em projetos de código aberto e na colaboração com IA, onde grandes volumes de dados são manipulados.🚀Gostou do conteúdo? Então continue lendo as principais notícias do mercado de IA. 📩Assine a nossa newsletter e fique por dentro de tudo sobre a Inteligência Artificial. Foto: iStock
Salvar