Tim AI Microsoft secara tidak sengaja membocorkan 38TB information perusahaan swasta

Peneliti AI di Microsoft telah membuat kesalahan besar.

Menurut a laporan baru dari perusahaan keamanan cloud Wiz, tim peneliti AI Microsoft secara tidak sengaja membocorkan 38TB information pribadi perusahaan.

38 terabyte. Itu banyak information.

Information yang diekspos termasuk cadangan penuh dari dua komputer karyawan. Cadangan ini berisi information pribadi sensitif, termasuk kata sandi untuk layanan Microsoft, kunci rahasia, dan lebih dari 30.000 pesan inner Microsoft Groups dari lebih dari 350 karyawan Microsoft.

Tweet mungkin telah dihapus

Jadi bagaimana ini bisa terjadi? Laporan tersebut menjelaskan bahwa tim AI Microsoft mengunggah sekumpulan information pelatihan yang berisi kode sumber terbuka dan mannequin AI untuk pengenalan gambar. Pengguna yang menemukan repositori Github diberikan tautan dari Azure, layanan penyimpanan cloud Microsoft, untuk mengunduh mannequin.

Satu masalah: Tautan yang disediakan oleh tim AI Microsoft memberi pengunjung akses penuh ke seluruh akun penyimpanan Azure. Dan pengunjung tidak hanya dapat melihat semua yang ada di akun, mereka juga dapat mengunggah, menimpa, atau menghapus file.

Wiz mengatakan bahwa hal ini terjadi sebagai akibat dari fitur Azure yang disebut token Shared Entry Signature (SAS), yang merupakan “URL bertanda tangan yang memberikan akses ke information Azure Storage.” Token SAS dapat diatur dengan batasan pada file apa yang dapat diakses. Namun, tautan khusus ini dikonfigurasi dengan akses penuh.

Potensi permasalahannya, menurut Wiz, tampaknya information tersebut sudah terekspos sejak tahun 2020.

Wiz menghubungi Microsoft awal tahun ini, pada 22 Juni, untuk memperingatkan mereka tentang penemuan mereka. Dua hari kemudian, Microsoft membatalkan token SAS dan menutup masalah tersebut. Microsoft melakukan dan menyelesaikan penyelidikan terhadap potensi dampaknya pada bulan Agustus.

Microsoft memberi TechCrunch a penyataanmengklaim “tidak ada information pelanggan yang terungkap, dan tidak ada layanan inner lainnya yang berisiko karena masalah ini.”