Microsoft AI:s divisionsforskare läckte av misstag 38TB av företagets privata data när de publicerade uppdateringar av AI-utbildningsmaterial med öppen källkod på GitHub.
Läckan, som pågått sedan juli 2020, upptäcktes av forskarna vid molnsäkerhetsföretaget Wiz tre år senare.
Microsoft AI Team avslöjar av misstag 38 TB företagsdata
Enligt Wiz inkluderade de exponerade uppgifterna en diskbackup av två anställdas arbetsstationer. Disksäkerhetskopian innehöll företagshemligheter, privata nycklar, lösenord och över 30 000 interna Microsoft Teams-meddelanden från 359 Microsoft-anställda.
Forskarna vid Wiz stötte på problemet under deras pågående internetskanning efter felkonfigurerade lagringsbehållare.
“Vi hittade ett GitHub-förråd under Microsoft-organisationen som heter robust-modeller-överföring. Förvaret tillhör Microsofts AI-forskningsdivision och dess syfte är att tillhandahålla öppen källkod och AI-modeller för bildigenkänning, säger företaget. förklarade i ett blogginlägg.
Läsare av GitHub-förvaret instruerades att ladda ner modellerna från en Azure Storage-URL. Medan de delade filerna använde Microsoft en Azure-funktion som heter Shared Access Signature (SAS)-tokens, som tillåter fullständig kontroll över de delade filerna från Azure Storage-konton.
Även om åtkomstnivån kan begränsas till endast specifika filer, delade AI-avdelningens forskare av misstag en länk som var konfigurerad för att dela hela lagringskontot – inklusive ytterligare 38 TB privata filer, vilket ledde till läckage av data.
Förutom det alltför tillåtande åtkomstomfånget, var token också felkonfigurerad för att tillåta “full kontroll”-behörigheter istället för skrivskyddad. Detta innebar att en angripare inte bara kunde se alla filer i lagringskontot utan också kunde ta bort och skriva över befintliga filer.
Wiz rapporterade incidenten till Microsoft Security Response Center (MSRC) den 22 juni 2023, vilket ogiltigförklarade SAS-token den 24 juni 2023, för att blockera all extern åtkomst till Azure Storage-kontot.
Microsoft avslutade sin utredning om potentiella organisatoriska effekter den 16 augusti 2023 och offentliggjorde händelsen måndagen den 18 september 2023.
I ett rådgivande publiceras på måndagen sa MSRC-teamet: “Inga kunddata har exponerats, och inga andra interna tjänster utsattes för risker på grund av detta problem. Grundorsaken till detta har åtgärdats och systemet har nu bekräftats att det upptäcker och rapporterar korrekt om alla överprovisionerade SAS-tokens.
Den tillade, “Ingen kundåtgärd krävs för att svara på det här problemet. Vår undersökning drog slutsatsen att det inte fanns någon risk för kunderna till följd av denna exponering.”