Investigadores de IA de Microsoft exponen accidentalmente una gran caché de datos

Los datos expuestos incluían copias de seguridad de ordenadores personales de empleados de Microsoft, que contenían contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos

Por

Bloomberg — El equipo de investigación de IA de Microsoft Corp. (MSFT) expuso accidentalmente una gran caché de datos privados en la plataforma de desarrollo de software GitHub, según una nueva investigación de una empresa de ciberseguridad.

Un equipo de la empresa de seguridad en la nube Wiz descubrió la exposición de datos alojados en la nube en la plataforma de entrenamiento de IA a través de un enlace mal configurado. Los datos fueron filtrados por el equipo de investigación de Microsoft mientras publicaba datos de entrenamiento de código abierto en GitHub, según Wiz.

Se instaba a los usuarios del repositorio a descargar modelos de IA desde una URL de almacenamiento en la nube. Pero estaba mal configurada para conceder permisos a toda la cuenta de almacenamiento, y también concedía a los usuarios permisos de control total, en lugar de solo lectura, lo que significaba que podían borrar y sobrescribir archivos existentes, según una entrada del blog de Wiz. Los datos expuestos incluían copias de seguridad de ordenadores personales de empleados de Microsoft, que contenían contraseñas de servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de 359 empleados de Microsoft, según Wiz.

El intercambio abierto de datos es un componente clave de la formación en IA, pero compartir grandes cantidades de datos deja a las empresas expuestas a mayores riesgos si se comparten de forma incorrecta, según los investigadores de Wiz. Wiz compartió los datos en junio con Microsoft, que se movió rápidamente para eliminar los datos expuestos, dijo Ami Luttwak, director de tecnología y cofundador de Wiz, quien agregó que el incidente “podría haber sido peor.”

Al pedírsele un comentario, un portavoz de Microsoft dijo: “Hemos confirmado que no se expusieron datos de clientes y que no se puso en riesgo ningún otro servicio interno.”

En una entrada de blog publicada el lunes, Microsoft dijo que investigó y remedió un incidente que involucró a un empleado de Microsoft que compartió una URL en un repositorio público de GitHub a modelos de aprendizaje de IA de código abierto. Microsoft dijo que los datos expuestos en la cuenta de almacenamiento incluían copias de seguridad de los perfiles de las estaciones de trabajo de dos ex empleados y mensajes internos de Microsoft Teams de estos dos empleados con sus colegas.

La caché de datos fue encontrada por el equipo de investigación de Wiz escaneando Internet en busca de contenedores de almacenamiento mal configurados, parte de su trabajo en curso sobre la exposición accidental de datos alojados en la nube, según el blog.

Lee más en Bloomberg.com