Microsoft solucionó una vulnerabilidad que exponía 38 TB de datos privados de su división de investigación de IA
Piratas informáticos de sombrero blanco, pertenecientes a la empresa Wiz Research, habían informado al centro de respuesta de seguridad de Microsoft el descubrimiento de un enlace para compartir datos basado en tokens del Sistema de análisis estadístico de Azure. A partir de esto, Microsoft invalidó el token SAS, lo reemplazo en la página GitHub y en la actualidad la fuga ha sido mitigada.
¿Cómo sucedió?
La vulnerabilidad se originó a partir de un token de firma de acceso compartido para una cuenta de almacenamiento interno. Un empleado de Microsoft compartió una URL en un blob store (tipo de almacenamiento de objetos en Azure) que contenía un conjunto de datos de IA en un repositorio público de GitHub mientras trabajaba en modelos de aprendizaje de IA de código abierto.
El hecho permitió que el equipo de Wiz utilizara la URL mal configurada para adquirir permisos y acceder a todo el repositorio que contenía contraseñas, datos privados y, entre otras cosas, más de 30.000 mensajes de Microsoft Teams.
Cabe destacar que cualquier conjunto de datos de código abierto muy grande podría posiblemente compartirse de esta manera. Sin embargo, Wiz señaló: “Los investigadores recopilan y comparten cantidades masivas de datos externos e internos para construir la información de entrenamiento requerida para sus modelos de IA. Esto plantea riesgos de seguridad inherentes relacionados con el intercambio de datos a gran escala”.
También, sugirió que las organizaciones que buscan evitar incidentes similares deberían advertir a los empleados que no compartan demasiado datos. En este caso, los investigadores de Microsoft podrían haber movido el conjunto de datos públicos de IA a una cuenta de almacenamiento dedicada.
Las organizaciones deben estar alerta ante los ataques a la cadena de suministro, que pueden ocurrir si los atacantes inyectan código malicioso en archivos que están abiertos al acceso público mediante permisos inadecuados.
