La división de Inteligencia Artificial (IA) de Microsoft ha cometido un error al exponer accidentalmente 38TB de datos sensibles de empleados de la compañía. Este incidente ocurrió después de compartir un repositorio de modelos de IA en GitHub.
El repositorio compartido públicamente en GitHub estaba destinado a facilitar herramientas y modelos de IA para el reconocimiento de imágenes. Sin embargo, contenía una URL que brindaba acceso a una cuenta de almacenamiento interno.
La URL incluía un token de firma de acceso compartido (SAS), pero en lugar de restringir el acceso a los recursos de almacenamiento, permitía la visualización de información almacenada en Azure, según descubrieron los investigadores de Wiz.
Como resultado, se expusieron 38TB de información sensible de los empleados de Microsoft, como copias de seguridad de perfiles de estaciones de trabajo y mensajes internos de Microsoft Teams, como informa TechCrunch.
Los investigadores de Wiz también señalaron que esta URL llevaba expuesta desde 2020 y estaba configurada para otorgar control completo, lo que permitía a cualquier persona realizar modificaciones o inyectar contenido malicioso.
Microsoft ha confirmado este incidente de seguridad en una publicación en el blog de su Centro de Respuesta de Seguridad (MSRC, por sus siglas en inglés) y ha negado que los datos de los clientes se hayan visto afectados.
Wiz notificó la exposición de datos a Microsoft el 22 de junio. El equipo de MSRC revocó el token SAS y bloqueó el acceso externo al almacenamiento. Según Microsoft, se mitigó el problema el 24 de junio y se inició una investigación, concluyendo que este incidente no representa riesgos para los clientes.