El factor humano vuelve a provocar un lapso que podría salir bastante costoso para Microsoft cuando un equipo de investigadores que trabajan en Inteligencia Artificial expuso una enorme colección de datos. Se expusieron terabytes de información interna confidencial.
La intención era noble. Difundir y poner a disposición una gran colección de datos útiles en un almacén digital o cubo de almacenamiento lanzado en el repositorio de GitHub con el propósito de acelerar el desarrollo de soluciones basadas en IA. La ejecución, sin embargo, fue menos perfecta.
Colección de 38 TB accesible con varios datos confidenciales de Microsoft
A medida que avanza la publicación TechCrunchel descubrimiento fue realizado por puesta en marcha dedicado a la seguridad de soluciones de almacenamiento en la nube o nube, mago. Esta fuente señala que el repositorio de GitHub perteneciente a la división de Microsoft dedicada a la IA cometió un error importante, exponiendo información sensible de la propia empresa.
Al trabajar en un nuevo algoritmo de reconocimiento de imágenes y modelos de IA, contenido puesto a disposición gratuitamente por Microsoft a través de ese mismo repositorio, algo más estaba presente. Según Wiz, alguien dio demasiados permisos a miles de archivos almacenados en el nube.
Todos los 38 Terabytes de información almacenada por Microsoft en nube Cualquier parte interesada podría acceder a él y contiene mucho más que los modelos de IA que se compartirán. Es decir, además de lo que se suponía, también pudimos acceder a lo que no se suponía.
Los archivos quedaron expuestos por error a través de GitHub
Los archivos expuestos incorrectamente incluían varios copias de seguridad de ordenadores personales de al menos dos trabajadores de Microsoft. Además, contenía información útil de muchos otros trabajadores, desde contraseñas de plataformas y servicios de Microsoft, así como más de 30.000 mensajes internos enviados a través de Microsoft Teams.
Dicho esto, una URL (hipervínculo) era suficiente para acceder a una enorme colección que data de 2020. Todo esto porque en lugar de otorgar permisos de «Solo visualización», alguien hizo un clic equivocado y seleccionó la opción «Control total», señala Wiz.
El mayor riesgo radica en la posibilidad de que un actor malicioso reemplace, por ejemplo, algunos de estos archivos con software malicioso. En la práctica, aquí se puede obtener un vector de acceso, una vía para entrar en Microsoft y sus servicios.
Wiz, la entidad que encontró y se dio cuenta de la magnitud del error, notificó de inmediato a Microsoft el 22 de junio. A partir de entonces, Microsoft habrá revocado los permisos de acceso a la colección en cuestión, pero sólo dos días después, el 24 de junio.
Mientras tanto, la empresa habrá completado una investigación de seguridad que finalizará el 16 de agosto. Ahora solo nos queda esperar y ver el verdadero impacto que esta brecha accidental pudo haber tenido en la tecnología norteamericana.
Los editores de 4gnews recomiendan:
