Segundo o The Hacker News , a Wiz Research, uma startup de segurança na nuvem, descobriu recentemente um vazamento de dados no repositório GitHub da Microsoft AI, que teria sido exposto acidentalmente durante a publicação de um conjunto de dados de treinamento de código aberto.
Os dados vazados incluem um backup das estações de trabalho de dois ex-funcionários da Microsoft, contendo chaves secretas, senhas e mais de 30.000 mensagens internas do Teams.
O repositório, chamado "robust-models-transfer", agora está inacessível. Antes de ser desativado, ele continha o código-fonte e os modelos de aprendizado de máquina relacionados a um artigo de pesquisa de 2020.
A Wiz afirmou que a violação de dados ocorreu devido à vulnerabilidade dos tokens SAS, um recurso do Azure que permite aos usuários compartilhar dados difíceis de rastrear e revogar. O incidente foi relatado à Microsoft em 22 de junho de 2023.
Consequentemente, o arquivo README.md do repositório instruía os desenvolvedores a baixar modelos de um URL do Armazenamento do Azure, fornecendo inadvertidamente acesso a toda a conta de armazenamento e, assim, expondo dados privados adicionais.
Os pesquisadores da Wiz afirmaram que, além do acesso excessivo, o token SAS também estava mal configurado, permitindo controle total em vez de apenas leitura. Se explorado, isso significaria que um invasor poderia não apenas visualizar, mas também excluir e sobrescrever todos os arquivos na conta de armazenamento.
Em resposta ao relatório, a Microsoft afirmou que sua investigação não encontrou evidências de exposição de dados de clientes, nem que outros serviços internos tenham sido colocados em risco devido ao incidente. A empresa ressaltou que os clientes não precisam tomar nenhuma providência, acrescentando que revogou os tokens SAS e bloqueou todo o acesso externo às contas de armazenamento.
Para mitigar riscos semelhantes, a Microsoft expandiu seu serviço de varredura de segredos para procurar quaisquer tokens SAS que possam ter privilégios limitados ou excessivos. Ela também identificou um bug em seu sistema de varredura que estava sinalizando erroneamente URLs SAS no repositório.
Pesquisadores afirmam que, devido à falta de segurança e governança dos tokens de contas SAS, a precaução é evitar o compartilhamento externo desses tokens. Erros na geração de tokens podem passar despercebidos e expor dados sensíveis.
Anteriormente, em julho de 2022, a JUMPSEC Labs anunciou uma ameaça que poderia explorar essas contas para obter acesso a empresas.
Arquivos confidenciais encontrados em backups pela Wiz Research
Esta é a mais recente violação de segurança da Microsoft. Há duas semanas, a empresa também revelou que hackers originários da China invadiram e roubaram chaves de alta segurança. Os hackers assumiram o controle da conta de um engenheiro da empresa e acessaram o arquivo de assinatura digital do usuário.
O incidente mais recente demonstra os riscos potenciais da incorporação de IA em grandes sistemas, afirma Ami Luttwak, CTO da Wiz CTO. No entanto, à medida que cientistas e engenheiros de dados se apressam para implementar novas soluções de IA, a enorme quantidade de dados que processam exige verificações e salvaguardas de segurança adicionais.
Com muitas equipes de desenvolvimento precisando trabalhar com quantidades massivas de dados, compartilhar esses dados com seus colegas ou colaborar em projetos públicos de código aberto, casos como o da Microsoft estão se tornando cada vez mais difíceis de rastrear e evitar.
Link da fonte
![[Foto] Cat Ba - Paraíso da ilha verde](/_next/image?url=https%3A%2F%2Fvphoto.vietnam.vn%2Fthumb%2F1200x675%2Fvietnam%2Fresource%2FIMAGE%2F2025%2F12%2F04%2F1764821844074_ndo_br_1-dcbthienduongxanh638-jpg.webp&w=3840&q=75)
![[VIMC 40 dias de velocidade relâmpago] Porto de Da Nang: Unidade - Velocidade relâmpago - Rumo à linha de chegada](https://vphoto.vietnam.vn/thumb/402x226/vietnam/resource/IMAGE/2025/12/04/1764833540882_cdn_4-12-25.jpeg)
Comentário (0)