Según The Hacker News , Wiz Research, una startup de seguridad en la nube, descubrió recientemente una fuga de datos en el repositorio de GitHub de Microsoft AI, que se dice que se expuso accidentalmente al publicar un grupo de datos de entrenamiento de código abierto.

Los datos filtrados incluyen una copia de seguridad de las estaciones de trabajo de dos ex empleados de Microsoft con claves secretas, contraseñas y más de 30.000 mensajes internos de la aplicación Teams.

El repositorio llamado "robust-models-transfer" ahora es inaccesible. Antes de ser eliminado, el repositorio contenía código fuente y modelos de aprendizaje automático relacionados con un artículo de investigación de 2020.

Wiz dijo que la violación de datos ocurrió debido a la vulnerabilidad de los tokens SAS, una característica de Azure que permite a los usuarios compartir datos que son difíciles de rastrear y revocar. El problema se informó a Microsoft el 22/6/2023.

En consecuencia, el archivo README.md del repositorio instruía a los desarrolladores a descargar modelos desde una URL de Azure Storage, proporcionando inadvertidamente acceso a toda la cuenta de almacenamiento y exponiendo así datos privados adicionales.

Además del rango de acceso excesivo, el token SAS también estaba mal configurado, lo que permitía un control total en lugar de solo lectura, dijeron los investigadores de Wiz. Si se explota, significa que un hacker no sólo podría ver, sino también eliminar y sobrescribir todos los archivos en la cuenta de almacenamiento.

En respuesta al informe, Microsoft dijo que su investigación no encontró evidencia de que datos de clientes estuvieran expuestos, ni que otros servicios internos estuvieran en riesgo debido al incidente. El grupo enfatizó que los clientes no necesitan realizar ninguna acción y dijo que ha revocado los tokens SAS y bloqueado todo acceso externo a las cuentas de almacenamiento.

Para mitigar riesgos similares, Microsoft ha ampliado su escaneo de servicio secreto para detectar cualquier token SAS que pueda tener privilegios limitados o excesivos. La empresa también identificó un error en el sistema de escaneo que marcaba las URL de SAS en el repositorio con resultados incorrectos.

Los investigadores sugieren que, debido a la falta de seguridad y gobernanza de los tokens de cuentas SAS, la precaución es evitar usarlos para compartirlos externamente. Los errores de generación de tokens pueden pasarse por alto fácilmente y exponer datos confidenciales.

Anteriormente, en julio de 2022, JUMPSEC Labs reveló una amenaza que podría explotar estas cuentas para obtener acceso a empresas.

Esta es la última brecha de seguridad de Microsoft. Hace dos semanas, la compañía reveló que piratas informáticos originarios de China habían irrumpido y robado claves de alta seguridad. Los hackers se apoderaron de la cuenta de un ingeniero de esta corporación y accedieron al repositorio de firmas digitales del usuario.

El último incidente muestra los riesgos potenciales de introducir IA en sistemas grandes, Ami Luttwak - CTO de Wiz CTO dijo que la IA abre un enorme potencial para las empresas de tecnología. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran a poner en uso nuevas soluciones de IA, las enormes cantidades de datos que procesan requieren controles y salvaguardas de seguridad adicionales.

Dado que muchos equipos de desarrollo necesitan trabajar con enormes cantidades de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de rastrear y evitar.