Microsoft filtra accidentalmente 38 TB de datos privados en GitHub

El gigante tecnológico afirmó que un enlace URL contenía un token “demasiado permisivo”, que daba acceso a datos privados de los empleados.

Los investigadores de inteligencia artificial de Microsoft expusieron accidentalmente 38 TB de datos en GitHub al publicar datos de entrenamiento de código abierto, según un informe de Wiz Research.

El informe afirma que esta filtración incluía una copia de seguridad en disco de dos estaciones de trabajo de empleados, que contenía secretos, claves privadas, contraseñas y más de 30.000 mensajes internos de Microsoft Teams.

Microsoft confirmó la filtración accidental después de que Wiz le informara, pero dijo que no se expusieron datos de clientes y que ningún otro servicio interno se puso en riesgo.

Wiz afirma que el problema se debió a un repositorio de GitHub que pertenece a la división de investigación de IA de Microsoft, que proporcionaba código fuente abierto y modelos de IA a través de una URL.

“Sin embargo, esta URL permitía el acceso a algo más que modelos de código abierto”, dijo Wiz en un entrada en el blog. “Se configuró para otorgar permisos en toda la cuenta de almacenamiento, exponiendo por error datos privados adicionales.

“Además del alcance de acceso demasiado permisivo, el token también estaba mal configurado para permitir permisos de “control total” en lugar de solo lectura. Es decir, un atacante no sólo podría ver todos los archivos en la cuenta de almacenamiento, sino que también podría eliminar y sobrescribir los archivos existentes”.

Microsoft dijo que el problema ocurrió porque la URL incluía un token de firma de acceso compartido “demasiado permisivo” para una cuenta de almacenamiento interno. Después de que Wiz le informara del problema el 22 de junio, Microsoft dijo que impidió todo acceso externo a la cuenta y mitigó el problema el 24 de junio.

Wiz dijo que el problema es un ejemplo de los nuevos riesgos que enfrentan las organizaciones cuando aprovechan el poder de la IA de manera más amplia, ya que “cada vez más ingenieros trabajan con cantidades masivas de datos de capacitación”.

“A medida que los científicos e ingenieros de datos se apresuran para llevar a producción nuevas soluciones de inteligencia artificial, las enormes cantidades de datos que manejan requieren controles de seguridad y salvaguardias adicionales”, dijo Wiz.

El gigante tecnológico enfrentó críticas a principios de este año después de que presuntos piratas informáticos con sede en China lograran infiltrarse en los correos electrónicos de varios funcionarios gubernamentales haciéndose pasar por usuarios de Microsoft Azure AD.

Diez cosas que necesitas saber directamente en tu bandeja de entrada todos los días de la semana. Regístrese para el Resumen diarioresumen de noticias esenciales de ciencia y tecnología de Silicon Republic.