Pesquisadores de IA da Microsoft expuseram acidentalmente 38 TB de dados

De acordo com o The Hacker News , a Wiz Research - uma startup de segurança em nuvem - descobriu recentemente um vazamento de dados no repositório GitHub da Microsoft AI, que teria sido exposto acidentalmente ao publicar um grupo de dados de treinamento de código aberto.

Os dados vazados incluem um backup das estações de trabalho de dois ex-funcionários da Microsoft com chaves secretas, senhas e mais de 30.000 mensagens internas do Teams.

O repositório, chamado "robust-models-transfer", está inacessível. Antes de ser removido, ele continha código-fonte e modelos de aprendizado de máquina relacionados a um artigo de pesquisa de 2020.

Wiz afirmou que a violação de dados ocorreu devido à vulnerabilidade dos tokens SAS, um recurso do Azure que permite aos usuários compartilhar dados difíceis de rastrear e revogar. O incidente foi reportado à Microsoft em 22 de junho de 2023.

Dessa forma, o arquivo README.md do repositório instruiu os desenvolvedores a baixar modelos de uma URL do Armazenamento do Azure, fornecendo inadvertidamente acesso a toda a conta de armazenamento, expondo assim dados privados adicionais.

Os pesquisadores da Wiz disseram que, além do acesso excessivo, o token SAS também estava configurado incorretamente, permitindo controle total em vez de apenas leitura. Se explorado, isso significaria que um invasor poderia não apenas visualizar, mas também excluir e sobrescrever todos os arquivos na conta de armazenamento.

Em resposta ao relatório, a Microsoft afirmou que sua investigação não encontrou evidências de exposição de dados de clientes, nem que outros serviços internos estivessem em risco devido ao incidente. A empresa enfatizou que os clientes não precisam tomar nenhuma medida, acrescentando que revogou os tokens SAS e bloqueou todo o acesso externo às contas de armazenamento.

Para mitigar riscos semelhantes, a Microsoft expandiu seu serviço de varredura secreta para procurar tokens SAS que possam ter privilégios limitados ou excessivos. A empresa também identificou um bug em seu sistema de varredura que estava sinalizando falsamente URLs SAS no repositório.

Pesquisadores afirmam que, devido à falta de segurança e governança dos tokens de contas SAS, a precaução é evitar usá-los para compartilhamento externo. Erros na geração de tokens podem ser facilmente ignorados e expor dados confidenciais.

Anteriormente, em julho de 2022, a JUMPSEC Labs anunciou uma ameaça que poderia explorar essas contas para obter acesso a empresas.

Esta é a mais recente violação de segurança da Microsoft. Há duas semanas, a empresa também revelou que hackers originários da China invadiram e roubaram chaves de alta segurança. Os hackers assumiram o controle da conta de um engenheiro da empresa e acessaram o arquivo de assinaturas digitais do usuário.

O incidente mais recente demonstra os riscos potenciais da incorporação de IA em grandes sistemas, afirma Ami Luttwak, CTO da Wiz. No entanto, à medida que cientistas e engenheiros de dados correm para implementar novas soluções de IA, as enormes quantidades de dados que processam exigem verificações e salvaguardas de segurança adicionais.

Com muitas equipes de desenvolvimento precisando trabalhar com grandes quantidades de dados, compartilhar esses dados com seus colegas ou colaborar em projetos públicos de código aberto, casos como o da Microsoft estão se tornando cada vez mais difíceis de rastrear e evitar.