Des chercheurs en IA de Microsoft ont accidentellement exposé 38 To de données

Selon The Hacker News , Wiz Research, une startup spécialisée dans la sécurité cloud, a récemment découvert une fuite de données dans le référentiel GitHub de Microsoft AI, qui aurait été accidentellement exposée lors de la publication d'un groupe de données de formation open source.

Les données divulguées comprennent une sauvegarde des postes de travail de deux anciens employés de Microsoft avec des clés secrètes, des mots de passe et plus de 30 000 messages Teams internes.

Le dépôt, appelé « robust-models-transfer », est désormais inaccessible. Avant sa suppression, il contenait du code source et des modèles d'apprentissage automatique liés à un article de recherche de 2020.

Wiz a déclaré que la violation de données était due à la vulnérabilité des jetons SAS, une fonctionnalité d'Azure permettant aux utilisateurs de partager des données difficiles à suivre et à révoquer. L'incident a été signalé à Microsoft le 22 juin 2023.

En conséquence, le fichier README.md du référentiel demandait aux développeurs de télécharger des modèles à partir d'une URL de stockage Azure, fournissant par inadvertance l'accès à l'ensemble du compte de stockage, exposant ainsi des données privées supplémentaires.

Les chercheurs de Wiz ont indiqué qu'en plus de l'accès excessif, le jeton SAS était également mal configuré, permettant un contrôle total plutôt qu'une simple lecture. En cas d'exploitation, un attaquant pourrait non seulement visualiser, mais aussi supprimer et écraser tous les fichiers du compte de stockage.

En réponse au rapport, Microsoft a déclaré que son enquête n'avait révélé aucune preuve d'exposition des données clients, ni de risque pour d'autres services internes suite à l'incident. L'entreprise a souligné que les clients n'avaient aucune action à entreprendre, ajoutant avoir révoqué les jetons SAS et bloqué tout accès externe aux comptes de stockage.

Pour atténuer ces risques, Microsoft a étendu son service d'analyse secrète afin de détecter les jetons SAS potentiellement dotés de privilèges limités ou excessifs. Microsoft a également identifié un bug dans son système d'analyse qui signalait à tort les URL SAS dans le référentiel.

Les chercheurs affirment qu'en raison du manque de sécurité et de gouvernance des jetons de compte SAS, il est conseillé d'éviter de les utiliser pour un partage externe. Les erreurs de génération de jetons peuvent facilement être négligées et exposer des données sensibles.

En juillet 2022, JUMPSEC Labs avait annoncé une menace qui pourrait exploiter ces comptes pour accéder aux entreprises.

Il s'agit de la dernière faille de sécurité en date chez Microsoft. Il y a deux semaines, l'entreprise a également révélé que des pirates informatiques chinois avaient pénétré et volé des clés de sécurité. Les pirates ont piraté le compte d'un ingénieur de l'entreprise et accédé aux archives de signatures numériques de l'utilisateur.

Le dernier incident illustre les risques potentiels liés à l'intégration de l'IA dans des systèmes de grande envergure, déclare Ami Luttwak, CTO de Wiz CTO. Cependant, alors que les data scientists et les ingénieurs s'empressent de mettre en œuvre de nouvelles solutions d'IA, les volumes massifs de données qu'ils traitent nécessitent des contrôles de sécurité et des mesures de protection supplémentaires.

Alors que de nombreuses équipes de développement doivent travailler avec des quantités massives de données, partager ces données avec leurs pairs ou collaborer sur des projets open source publics, les cas comme celui de Microsoft deviennent de plus en plus difficiles à suivre et à éviter.