Ciência e Tecnologia News 

Acidente: Pesquisadores de IA da Microsoft expuseram dados internos sensíveis

tutoriaisweb
Microsoft, dados sensíveis

Pesquisadores da Microsoft envolvidos em projetos de Inteligência Artificial (IA) compartilharam um repositório de dados de treinamento de código aberto no GitHub, e, acidentalmente, expuseram uma quantidade significativa de informações críticas internas. Durante investigação em andamento sobre a exposição acidental de dados na nuvem, a Wiz, startup de segurança em nuvem, identificou um repositório no GitHub vinculado à divisão de pesquisa em IA da Microsoft com 38 TB de dados sensíveis, segundo informações do TechCrunch.

O repositório vinculado à Microsoft disponibilizava códigos de código aberto e modelos de IA para reconhecimento de imagem. Quando os usuários o acessaram, foram instruídos a baixar os modelos de um URL do Armazenamento Azure, que, por engano, concedeu acesso à conta inteira. Isso resultou na exposição de 38 TB de dados sensíveis, incluindo backups pessoais de dois funcionários da Microsoft, senhas para serviços da Microsoft, chaves secretas e mensagens internas.

Leia mais: Caesars Entertainment sofre ataque de engenharia social

A conta de armazenamento não foi exposta diretamente, disse a Wiz, mas sim devido a um token SAS excessivamente permissivo incluído pelos desenvolvedores de IA da Microsoft no URL. Tokens SAS são uma ferramenta do Azure que facilita a criação de links compartilháveis para acesso a dados em contas de armazenamento Azure.

Ami Luttwak, cofundador e CTO da Wiz, disse ao TechCrunch que, conforme que cientistas de dados e engenheiros aceleram o desenvolvimento de soluções de IA, a manipulação de grandes volumes de dados requer medidas adicionais de segurança. Com muitas equipes de desenvolvimento compartilhando e colaborando em projetos de código aberto, casos semelhantes ao da Microsoft tornam-se cada vez mais desafiadores de monitorar e evitar, acrescentou ele.

A Wiz compartilhou suas descobertas com a Microsoft, que revogou o token SAS no dia 24 de junho e encerrou sua investigação sobre o impacto em 16 de agosto. A Microsoft assegurou que nenhum dado do cliente ou serviço interno foi comprometido. Além disso, como resultado da pesquisa da Wiz, a Microsoft expandiu o serviço do GitHub para abranger tokens SAS com expirações ou privilégios excessivamente permissivos.

Siga o IT Forum no LinkedIn e fique por dentro de todas as notícias!

*Com informações do TechCrunch

Você pode gostar também

Novo plano de desenvolvimento terá seis eixos, anuncia Lula

tutoriaisweb

Pacheco pede inclusão de infraestrutura em PL de dívida dos estados

tutoriaisweb

Nubank aposta no letramento técnico de líderes para ganhar eficiência e reduzir custos

tutoriaisweb