Según The Hacker News , Wiz Research, una startup de seguridad en la nube, descubrió recientemente una fuga de datos en el repositorio de GitHub de Microsoft AI, que se dice que se expuso accidentalmente al publicar un grupo de datos de entrenamiento de código abierto.
Los datos filtrados incluyen una copia de seguridad de las estaciones de trabajo de dos ex empleados de Microsoft con claves secretas, contraseñas y más de 30.000 mensajes internos de Teams.
El repositorio, llamado "robust-models-transfer", ya no está disponible. Antes de su desmantelamiento, contenía código fuente y modelos de aprendizaje automático relacionados con un artículo de investigación de 2020.
Wiz afirmó que la filtración de datos se produjo debido a la vulnerabilidad de los tokens SAS, una función de Azure que permite a los usuarios compartir datos difíciles de rastrear y revocar. El incidente se informó a Microsoft el 22 de junio de 2023.
En consecuencia, el archivo README.md del repositorio instruía a los desarrolladores a descargar modelos desde una URL de Azure Storage, proporcionando inadvertidamente acceso a toda la cuenta de almacenamiento y exponiendo así datos privados adicionales.
Los investigadores de Wiz afirmaron que, además del acceso excesivo, el token SAS estaba mal configurado, lo que permitía un control total en lugar de solo lectura. De ser explotado, un atacante no solo podría ver, sino también eliminar y sobrescribir todos los archivos de la cuenta de almacenamiento.
En respuesta al informe, Microsoft afirmó que su investigación no encontró evidencia de exposición de datos de clientes ni de que otros servicios internos estuvieran en riesgo debido al incidente. La compañía enfatizó que los clientes no necesitan tomar ninguna medida y añadió que ha revocado los tokens SAS y bloqueado todo acceso externo a las cuentas de almacenamiento.
Para mitigar riesgos similares, Microsoft ha ampliado su servicio de escaneo de secretos para buscar tokens SAS con privilegios limitados o excesivos. También identificó un error en su sistema de escaneo que marcaba falsamente las URL de SAS en el repositorio.
Los investigadores afirman que, debido a la falta de seguridad y gobernanza de los tokens de las cuentas SAS, la precaución es evitar su uso para compartirlos externamente. Los errores en la generación de tokens pueden pasarse por alto fácilmente y exponer datos confidenciales.
Anteriormente, en julio de 2022, JUMPSEC Labs anunció una amenaza que podría explotar estas cuentas para obtener acceso a las empresas.
Archivos confidenciales encontrados en copias de seguridad de Wiz Research
Esta es la última brecha de seguridad de Microsoft. Hace dos semanas, la compañía también reveló que hackers chinos habían accedido a claves de alta seguridad. Los hackers secuestraron la cuenta de un ingeniero de la corporación y accedieron al archivo de firmas digitales del usuario.
El último incidente muestra los riesgos potenciales de incorporar IA en grandes sistemas, afirma Ami Luttwak, director de tecnología de Wiz CTO. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran a implementar nuevas soluciones de IA, la enorme cantidad de datos que procesan requiere controles y medidas de seguridad adicionales.
Dado que muchos equipos de desarrollo necesitan trabajar con enormes cantidades de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de rastrear y evitar.
[anuncio_2]
Enlace de origen
Kommentar (0)