Los investigadores de inteligencia artificial de Microsoft exponen accidentalmente 38 terabytes de datos confidenciales
Microsoft dijo el lunes que ha tomado medidas para corregir un flagrante paso en falso de seguridad que llevó a la exposición de 38 terabytes de datos privados.
La filtración se descubrió en el repositorio de IA GitHub de la compañía y, según se informa, se hizo pública sin darse cuenta durante la publicación de un conjunto de datos de capacitación de código abierto, dijo Wiz. También incluía una copia de seguridad en disco de las estaciones de trabajo de dos ex empleados que contenían secretos, claves, contraseñas y más de 30.000 mensajes internos de Teams.
El repositorio, llamado «transferencia de modelos robustos,» ya no es accesible. Antes de su eliminación, presentaba código fuente y modelos de aprendizaje automático pertenecientes a un Trabajo de investigación 2020 con derecho «¿Los modelos ImageNet adversamente robustos se transfieren mejor?»
«La exposición se produjo como resultado de una actitud demasiado permisiva. Ficha SAS – una característica de Azure que permite a los usuarios compartir datos de una manera que es difícil de rastrear y revocar», Wiz él dijo en un informe. El problema se informó a Microsoft el 22 de junio de 2023.
Específicamente, el archivo README.md del repositorio indicaba a los desarrolladores que descargaran plantillas desde una URL de Azure Storage que accidentalmente también otorgaba acceso a toda la cuenta de almacenamiento, exponiendo así datos privados adicionales.
«Además del alcance de acceso excesivamente permisivo, el token también se configuró incorrectamente para permitir un» control total «en lugar de permisos de solo lectura», dijeron los investigadores de Wiz Hillai Ben-Sasson y Ronny Greenberg. «Es decir, un atacante no sólo puede ver todos los archivos en la cuenta de almacenamiento, sino también eliminar y reemplazar los archivos existentes».
En respuesta a los hallazgos, Microsoft él dijo su investigación no encontró evidencia de exposición no autorizada de datos de clientes y que «ningún otro servicio interno estuvo en riesgo debido a este problema». También enfatizó que los clientes no necesitan realizar ninguna acción por su parte.
Los fabricantes de Windows señalaron además que revocaron el token SAS y bloquearon todo acceso externo a la cuenta de almacenamiento. El problema se resolvió después de una divulgación responsable.
Para mitigar estos riesgos en el futuro, la compañía ha ampliado su servicio de escaneo secreto para incluir cualquier token SAS que pueda tener vencimientos o privilegios demasiado permisivos. Dijo que también identificó un error en su sistema de escaneo que marcó la URL SAS específica en el repositorio como un falso positivo.
«Debido a la falta de seguridad y gobernanza de los tokens SAS de la cuenta, deben considerarse tan sensibles como la propia clave de la cuenta», dijeron los investigadores. “Por lo tanto, se recomienda encarecidamente evitar el uso de cuentas SAS para compartir externamente. Los errores de creación de tokens pueden pasar desapercibidos fácilmente y exponer datos confidenciales”.
La identidad es el nuevo punto final: dominar la seguridad SaaS en la era moderna
Sumérgete en el futuro de la seguridad SaaS con Maor Bin, director ejecutivo de Adaptive Shield. Descubra por qué la identidad es el nuevo punto final. Asegura tu lugar ahora.
Esta no es la primera vez que salen a la luz cuentas de almacenamiento de Azure mal configuradas. A partir de julio de 2022, JUMPSEC Labs resaltado un escenario en el que un actor de amenazas podría aprovechar estas cuentas para obtener acceso a un entorno empresarial local.
El desarrollo es el último error de seguridad de Microsoft y se produce casi dos semanas después de que la compañía revelara que piratas informáticos con sede en China lograron infiltrarse en los sistemas de la compañía y robar una clave de firma altamente sensible, comprometiendo la cuenta corporativa de un ingeniero y probablemente accediendo a un volcado de seguridad de la suscripción del consumidor. sistema.
«La IA abre un enorme potencial para las empresas de tecnología. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran para poner en producción nuevas soluciones de IA, las enormes cantidades de datos que manipulan requieren controles de seguridad y protecciones con tarifas adicionales», dijo Ami, CTO y cofundador de Wiz. Luttwak. una afirmación.
«Esta tecnología emergente requiere grandes conjuntos de datos para la capacitación. Dado que muchos equipos de desarrollo necesitan manipular grandes cantidades de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar».
