Een Microsoft AI-onderzoeksteam heeft per ongeluk 38 TB aan privédata en 30.000 interne MS Teams-berichten openbaar gemaakt. Dit gebeurde tijdens het publiceren van een bucket met opensource-trainingsdata op GitHub.
Wiz scant routinematig het internet af naar verkeerd geconfigureerde storage containers om per ongeluk gepubliceerde cloudgegevens tegen te komen. Tijdens een recente scan kwamen de securityspecialisten een GitHub-repository van de Microsoft AI-onderzoeksdivisie tegen.
In deze repository staat normaal opensource-code en AI-modellen voor het herkennen van afbeeldingen. Gebruikers kunnen deze modellen downloaden via een Azure Storage URL.
Toegang tot 38 TB aan privédata
Uit verder onderzoek bleek dat deze URL niet alleen tot opensource-AI-modellen toegang geeft. De URL gaf permissies voor de hele storage-account, waardoor ook andere Microsoft-data toegankelijk werd.
Meer specifiek ging het in dit geval om 38 TB aan data, waaronder de back-ups van twee Microsoft-medewerkers. De per ongeluk toegankelijke data betrof onder meer wachtwoorden voor andere Microsoft-diensten, geheime keys en meer dan 30.000 interne Microsoft Teams-berichten van 359 andere Microsoft-medewerkers.
Oorzaak in SAS tokens
Volgens Wiz ligt de oorzaak van dit onbedoelde datalek in het gebruik van zogenoemde SAS-tokens door de betreffende Microsoft-medewerkers. SAS-tokens worden gebruikt voor het delen van data uit Azure Storage-accounts.
Het toegangsniveau kan hierbij worden beperkt tot specifieke bestanden. In dit geval was de toegang echter ingeregeld voor het hele Azure Storage-account. Inclusief de 38 TB aan bestanden die niet openbaar hadden moeten zijn.
Nieuwe checks nodig
Volgens securityspecialist Wiz is dit geval een typisch voorbeeld van gevaren die zich kunnen voordoen als medewerkers omgaan met grote hoeveelheden (trainings)data voor AI-doeleinden. Dit zal leiden tot een noodzaak voor nieuwe securitychecks en safeguards.
2 dagen geleden
