Pesquisadores da Microsoft envolvidos em projetos de Inteligência Artificial (IA) compartilharam um repositório de dados de treinamento de código aberto no GitHub, e, acidentalmente, expuseram uma quantidade significativa de informações críticas internas. Durante investigação em andamento sobre a exposição acidental de dados na nuvem, a Wiz, startup de segurança em nuvem, identificou um repositório no GitHub vinculado à divisão de pesquisa em IA da Microsoft com 38 TB de dados sensíveis, segundo informações do TechCrunch.
O repositório vinculado à Microsoft disponibilizava códigos de código aberto e modelos de IA para reconhecimento de imagem. Quando os usuários o acessaram, foram instruídos a baixar os modelos de um URL do Armazenamento Azure, que, por engano, concedeu acesso à conta inteira. Isso resultou na exposição de 38 TB de dados sensíveis, incluindo backups pessoais de dois funcionários da Microsoft, senhas para serviços da Microsoft, chaves secretas e mensagens internas.
Leia mais: Caesars Entertainment sofre ataque de engenharia social
A conta de armazenamento não foi exposta diretamente, disse a Wiz, mas sim devido a um token SAS excessivamente permissivo incluído pelos desenvolvedores de IA da Microsoft no URL. Tokens SAS são uma ferramenta do Azure que facilita a criação de links compartilháveis para acesso a dados em contas de armazenamento Azure.
Ami Luttwak, cofundador e CTO da Wiz, disse ao TechCrunch que, conforme que cientistas de dados e engenheiros aceleram o desenvolvimento de soluções de IA, a manipulação de grandes volumes de dados requer medidas adicionais de segurança. Com muitas equipes de desenvolvimento compartilhando e colaborando em projetos de código aberto, casos semelhantes ao da Microsoft tornam-se cada vez mais desafiadores de monitorar e evitar, acrescentou ele.
A Wiz compartilhou suas descobertas com a Microsoft, que revogou o token SAS no dia 24 de junho e encerrou sua investigação sobre o impacto em 16 de agosto. A Microsoft assegurou que nenhum dado do cliente ou serviço interno foi comprometido. Além disso, como resultado da pesquisa da Wiz, a Microsoft expandiu o serviço do GitHub para abranger tokens SAS com expirações ou privilégios excessivamente permissivos.
Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!
*Com informações do TechCrunch
SpaceX, Anthropic e OpenAI estão no radar de Wall Street para possíveis aberturas de capital…
por Eduardo Honorato Falar sobre infraestruturas críticas na Era Digital tem sua própria complexidade dentro…
A adoção de inteligência artificial (IA) nas empresas não depende apenas da disponibilidade de ferramentas.…
A Cohesity anunciou a concessão da Patente Nº 12.619.501 pelo Escritório de Patentes e Marcas…
Diogo Cortiz, professor da PUC-SP e doutor em Tecnologias da Inteligência e Design Digital, tem…
DJ Sampath chegou aos Estados Unidos há 30 anos com oito dólares no bolso e…