Компания Microsoft снова оказалась в центре внимания из-за утечки конфиденциальных данных. Известно, что утечка произошла из-за ошибки исследовательской группы, занимающейся разработкой искусственного интеллекта.
По данным компании Wiz, специализирующейся на кибербезопасности, в результате утечки было опубликовано 38 ТБ конфиденциальных данных Microsoft, включая пароли к сервисам Microsoft, секретные ключи, а также более 30 тыс. внутренних сообщений Teams от более чем 350 сотрудников компании. Также в данных были обнаружены ссылки на резервные копии компьютеров сотрудников.
Microsoft быстро отреагировала на утечку информации. Представители компании заявляют, что данные пользователей находятся в безопасности. Внутренние сервисы компании также не пострадали.
Сообщается, что утечка произошла из-за публикации обучающих данных, исходного кода и моделей для распознавания изображений на GitHub. В этих данных присутствовала ссылка, предоставлявшая пользователям неограниченный доступ к учетной записи хранилища Azure. Это означает, что любой желающий мог изменить, перезаписать или даже удалить файлы, находившиеся в хранилище.
Проблема возникла из-за неправильной настройки токена Shared Access Signature (SAS) в Azure. Функция позволяет настроить ограниченный доступ к определённым файлам, но по какой-то причине эта ссылка открывала неограниченный доступ к хранилищу.
Microsoft провела повторные проверки своих публичных репозиториев и определила, что системы безопасности вовремя заметили публикацию ссылки, но это было расценено как ложное срабатывание. Вероятно, инженеры компании скорректируют настройки систем, чтобы исключить вероятность таких проблем в будущем.