U nastojanju da obezbedi otvoreni kod i modele veštačke inteligencije za prepoznavanje slika, istraživački tim kompanije Microsoft slučajno je objavio 38 TB osetljivih podataka na internetu.
Firma za sajber bezbednost, poznata kao Wiz, otkrila je ovaj incident koji uključuje interne Teams poruke, lozinke za Microsoft usluge i tajne ključeve zaposlenih.
Reč je o rezervnim kopijama računara zaposlenih koje su, nažalost, dospjele na GitHub zbog greške. Ove rezervne kopije sadrže osetljive informacije, uključujući lozinke za Microsoft usluge i više od 30 hiljada internih poruka stotina zaposlenih u kompaniji. Važno je napomenuti da Microsoft tvrdi da nijedni podaci o klijentima nisu bili izloženi i da nijedna druga interna usluga nije bila ugrožena.
Ovaj incident je izazvan putem posebnog linka koji je bio namerno uključen zajedno s fajlovima kako bi omogućio istraživačima preuzimanje obučenih modela veštačke inteligencije. Microsoft istraživači su koristili Azure funkciju nazvanu "SAS tokeni" kako bi kreirali deljeni link koji daje pristup njihovom Azure Storage nalogu.
Korisnici ove funkcije obično mogu da odaberu koji podaci će biti dostupni putem SAS linkova, bilo da se radi o pojedinačnom fajlu, folderu ili celom skladištu. U ovom slučaju, istraživači su nesvesno podelili link koji je omogućavao pristup celom skladištu podataka.
Firma za sajber bezbednost je otkrila ovu grešku i prijavila je Microsoftu još 22. juna, a već narednog dana Microsoft je deaktivirao SAS token. Ipak, činjenica da su ovi podaci bili javno dostupni tokom tri godine predstavlja ozbiljan problem.
Iako je problematični link rešen, neispravno konfigurisani SAS tokeni mogu potencijalno dovesti do novih curenja podataka i ozbiljnih problema sa privatnošću. Microsoft navodi da trenutno ponovo pregleda svoje javno skladište i da će u budućnosti preduzeti korake kako bi sprečio ovakve incidente.