Nhóm AI của Microsoft vô tình làm lộ 38TB dữ liệu nhạy cảm

Các nhà nghiên cứu AI của Microsoft đã vô tình làm lộ hàng chục terabyte dữ liệu nhạy cảm, bao gồm cả khóa riêng tư và mật khẩu, trong khi xuất bản kho lưu trữ dữ liệu đào tạo nguồn mở trên GitHub.

Theo TechCrunch, startup bảo mật đám mây Wiz cho biết đã phát hiện ra kho lưu trữ mã nguồn GitHub thuộc bộ phận nghiên cứu AI của Microsoft như một phần của công việc làm vô tình làm lộ dữ liệu được lưu trữ trên đám mây. 

Người đọc kho lưu trữ GitHub, nơi cung cấp mã nguồn mở và các mô hình AI để nhận dạng hình ảnh, được hướng dẫn tải xuống các mô hình từ URL Bộ lưu trữ Azure. Tuy nhiên, Wiz nhận thấy rằng URL này đã được định cấu hình để cấp quyền trên toàn bộ tài khoản lưu trữ, do nhầm lẫn làm lộ thêm dữ liệu riêng tư.

Dữ liệu này bao gồm 38 terabyte thông tin nhạy cảm, bao gồm cả bản sao lưu cá nhân trên máy tính cá nhân của hai nhân viên Microsoft. Dữ liệu này cũng chứa dữ liệu cá nhân nhạy cảm khác, bao gồm mật khẩu các dịch vụ của Microsoft, Private key và hơn 30.000 tin nhắn Microsoft Teams nội bộ từ hàng trăm nhân viên Microsoft.

Theo Wiz, dữ liệu này đã bị tiết lộ kể từ năm 2020 và và URL này đã bị cấu hình sai cho phép "toàn quyền điều khiển" thay vì chỉ có quyền "chỉ đọc". Điều này có nghĩa là bất kỳ ai biết cách truy cập vào URL đó điều có thể xóa, thay thế hoặc chèn nội dung độc hại vào đó.

Wiz đã liên hệ và cảnh báo sự cố cho Microsoft vào ngày 22 tháng 6. Hai ngày sau, Microsoft đã thông báo thu hồi mã thông báo SAS. Microsoft cho biết họ đã hoàn thành điều tra về các ảnh hưởng cũng như các tác động tiềm năng vào tổ chức vào ngày 16 tháng 8.