Jeżeli miałeś kiedyś kiepski dzień w pracy, to warto poddać go głębszej refleksji i zastanowić się, czy był aż tak kiepski, jak w przypadku ekipy z zespołu badawczego Microsoft AI, zajmującego się tematem wykorzystania sztucznej inteligencji. Otóż rzeczony zespół w trakcie wykonywania swojej pracy naraził korporację na bardzo groźne konsekwencje.

Wyciek ujawniony przez firmę Wiz, zajmującą się kwestiami cyberbezpieczeństwa, to doskonały przykład, jak kosztowna dla firmy może być chwila nieuwagi i „drobne niedopatrzenie”. Badacze z Microsoftu przesłali na publiczne repozytorium GitHub kod open source oraz modele SI do rozpoznawania obrazów. Problem w tym, że nie tylko. W przesłanym kodzie i plikach znalazły się bowiem łącza do m.in. kopii zapasowych komputerów pracowników firmy, a w nich można było znaleźć chociażby dane logowania do usług Microsoftu, różnej maści tajne klucze, a nawet ponad 30 tys. wiadomości z MS Teams, wysyłanych przez 359 pracowników korporacji. Mało tego, pliki nie otrzymały statusu „tylko do odczytu”, co oznacza, że w zasadzie każdy zainteresowany mógł nimi zarządzać, modyfikować je i usuwać. Łącznie zagrożonych okazało się 38 TB wrażliwych danych.

Powodem wycieku był źle skonfigurowany token SAS, który dawał dostęp do całej pamięci masowej danego kontenera usługi MS Azure, zamiast np. do pojedynczych plików. Mało tego, chociaż pierwszy z tokenów wygasł w październiku 2021 roku, to nowy został wydany z datą wygaśnięcia 6 października… 2051 roku. Dodatkowej pikanterii sytuacji dodaje fakt, że wyciek w sumie trwał… prawie 3 lata. Jego pierwsze ślady datowane są na 20 lipca 2020 roku, a sprawa zakończyła się 24 czerwca 2023 roku, dwa dni po tym, jak Wiz poinformował Microsoft o wycieku, a firma unieważniła token i usunęła narażone na niebezpieczeństwo dane.

Finalnie, Microsoft w swoim raporcie zapewnił, że żadne dane klientów nie zostały ujawnione, a usługi nie były zagrożone.

Źródło: engadget, wiz