A Microsoft acidentalmente abriu acesso a terabytes de informações confidenciais para todos

Funcionários da divisão de pesquisa da Microsoft especializada em inteligência artificial liberaram acidentalmente várias dezenas de terabytes de dados confidenciais, incluindo senhas e chaves privadas, para o domínio público. A informação foi divulgada quando um conjunto de dados de treinamento foi publicado no GitHub em um projeto de código aberto.

Os usuários do repositório público GitHub receberam o código-fonte aberto e o modelo de IA para reconhecimento de imagem, bem como a capacidade de baixar conteúdo por meio de uma URL do armazenamento do Azure. Especialistas da startup de segurança em nuvem Wiz descobriram que o URL dava ao usuário acesso total ao armazenamento em nuvem, incluindo 38 TB de informações confidenciais, incluindo backups de PCs pessoais de dois funcionários da Microsoft. A matriz também incluía senhas para serviços da Microsoft, chaves de acesso secretas e mais de 30.000 mensagens do mensageiro do Microsoft Teams de várias centenas de funcionários da Microsoft.

Esta URL, disponível desde 2020, continha um token de assinatura de acesso público que não apenas permitia a leitura de dados do armazenamento do Azure, mas também dava privilégios para adicioná-los e editá-los – qualquer pessoa poderia postar conteúdo malicioso lá. Wiz relatou sua descoberta à Microsoft em 22 de junho, e o token de acesso privilegiado foi revogado em 24 de junho. A corporação concluiu sua investigação sobre o incidente em 16 de agosto.

Como resultado do incidente, “nenhum dado de cliente foi exposto e nenhum outro serviço interno foi afetado por este problema”, segundo a Microsoft. A empresa expandiu os recursos de segurança do GitHub para incluir novos controles para controlar a divulgação de credenciais e outras informações confidenciais, incluindo tokens de acesso público, que podem ter privilégios extremamente amplos e longas datas de expiração.