A divisão de pesquisa de IA da Microsoft está sob escrutínio depois de expor inadvertidamente impressionantes 38 terabytes de dados confidenciais de treinamento de IA. O Techcrunch relata que os dados, que deveriam fazer parte dos dados de treinamento de código aberto no GitHub, incluíam os modelos de IA pretendidos e backups de computadores pessoais de funcionários da Microsoft, senhas para vários serviços da Microsoft, chaves secretas e um vasto arquivo de dados internos. Mensagens do Microsoft Teams.
A causa raiz dessa exposição massiva remonta ao uso de “tokens SAS” do Azure, que foram configurados para conceder “controle total” sobre toda a conta de armazenamento, em vez do pretendido Acesso “somente leitura”.
Tokens SAS configurados incorretamente
Tokens de assinatura de acesso compartilhado (SAS) são um recurso do Azure Cloud da Microsoft que permite aos usuários criar links que concedem acesso aos dados de uma conta de armazenamento do Azure. No entanto, quando mal configurados, esses tokens podem representar riscos de segurança significativos. Os desenvolvedores de IA da Microsoft, neste caso, incluíram um token SAS excessivamente permissivo na URL, o que levou à exposição não intencional. A a empresa de segurança em nuvem Wiz, que descobriu a configuração incorreta, enfatizou os desafios no monitoramento e revogação de tais tokens. Eles destacaram que, devido à falta de gerenciamento centralizado no portal do Azure, esses tokens são difíceis de rastrear. Além disso, eles podem ser configurados para durar indefinidamente, tornando seu uso para compartilhamento externo um risco potencial à segurança.
Consequências e resposta da Microsoft
Ao descobrir o descuido, Wiz imediatamente relatou o problema à Microsoft em junho de 2023. A Microsoft agiu rapidamente, revogar o token SAS no prazo de dois dias, bloqueando assim o acesso externo à conta de armazenamento do Azure. Após uma investigação interna, a Microsoft confirmou que nenhum dado do cliente foi comprometido e nenhum outro serviço interno foi comprometido devido ao incidente. Como medida preventiva, a Microsoft expandiu o serviço de verificação secreta do GitHub para monitorar alterações públicas de código-fonte aberto para possível exposição de credenciais e outros segredos, especialmente aqueles relacionados a tokens SAS.
