La división de inteligencia artificial (IA) de Microsoft expuso accidentalmente 38 TB de datos con información sensible de los empleados de la compañía —contraseñas de servicios, claves secretas, copias de seguridad de los ordenadores personales de los trabajadores, más de 30.000 mensajes internos de la aplicación Teams de cientos de empleados y otros datos confidenciales— mientras publicaban un depósito de almacenamiento de datos de capacitación de código abierto en GitHub.
Según TechCrunch, «la startup de seguridad en la nube Wiz dijo que descubrió un repositorio de GitHub perteneciente a la división de investigación de inteligencia artificial de Microsoft como parte de su trabajo en curso sobre la exposición accidental de datos alojados en la nube». Además, los lectores del repositorio de GitHub recibieron instrucciones para descargar los modelos desde una URL de Azure Storage, sin embargo, Wiz descubrió que dicha URL estaba configurada para otorgar permisos en la cuenta de almacenamiento —exponiendo por error datos privados adicionales—.
La URL expuso datos de 2020 e incluso estaba mal configurada para permitir «control total» en lugar de permisos de «solo lectura», es decir, cualquier persona podía eliminar, reemplazar e introducir contenido malicioso.
Sin embargo, esta exposición de datos sensible no es del todo preocupante, debido a que la cuenta de almacenamiento no quedó directamente expuesta. Concretamente, los empleados de Microsoft incluyeron un token de firma de acceso compartido demasiado permisivo en la URL, que permite a los usuarios crear vínculos compartibles que dan acceso a los datos de una cuenta de Azure Storage.
La respuesta de Microsoft
TechCrunch informa que «el Centro de Respuesta de Seguridad de Microsoft dijo que no expusieron datos de clientes y ningún otro servicio interno se puso en riesgo debido a este problema».