Nhóm AI của Microsoft đã mắc một sai lầm lớn. Họ đã vô tình chia sẻ 38TB dữ liệu riêng tư của công ty, theo báo cáo của công ty bảo mật đám mây Wiz.
Dữ liệu bị rò rỉ này chứa các bản sao lưu hoàn chỉnh của máy tính của hai nhân viên, trong đó có thông tin cá nhân nhạy cảm như mật khẩu cho các dịch vụ của Microsoft, khóa bí mật và hơn 30.000 tin nhắn nội bộ từ hơn 350 nhân viên của Microsoft trên Microsoft Teams.
Hillai Ben-Sasson, Nhà nghiên cứu bảo mật đám mây, cho biết: “Chúng tôi đã tìm thấy một kho lưu trữ AI công khai trên GitHub, tiết lộ hơn 38TB tệp riêng tư – bao gồm cả bản sao lưu máy tính cá nhân của nhân viên Microsoft. Chuyện đã xảy ra như thế nào? Chỉ cần cấu hình sai một mã token trên Azure Storage là đủ gây ra sự cố”.
Vậy, điều này đã xảy ra như thế nào? Báo cáo giải thích rằng nhóm AI của Microsoft đã tải lên một bộ dữ liệu huấn luyện có chứa mã nguồn mở và mô hình AI để nhận dạng hình ảnh. Họ đã chia sẻ điều này trên Github, một nền tảng hợp tác mã. Khi người dùng truy cập kho lưu trữ, họ sẽ được cung cấp một liên kết từ Azure, dịch vụ lưu trữ đám mây của Microsoft, để tải xuống các mô hình AI.
Vấn đề là liên kết được cung cấp bởi nhóm AI của Microsoft đã cấp cho khách truy cập quyền truy cập đầy đủ vào toàn bộ tài khoản lưu trữ Azure. Điều này có nghĩa là khách truy cập không chỉ có thể xem mọi thứ được lưu trữ ở đó mà còn có thể tải lên, thay thế hoặc xóa tệp.
Wiz giải thích rằng điều này xảy ra do một tính năng trong Azure gọi là Shared Access Signature (SAS) token, về cơ bản là các URL an toàn cấp quyền truy cập vào dữ liệu Lưu trữ Azure. Các token này có thể được thiết lập với các giới hạn về những tệp nào có thể được truy cập. Tuy nhiên, trong trường hợp này, liên kết được cung cấp có quyền truy cập không hạn chế.
Điều khiến vấn đề trở nên tồi tệ hơn là dữ liệu này đã bị lộ từ năm 2020, khiến nó trở thành mối nguy tiềm ẩn đối với bảo mật trong một thời gian khá dài.
Wiz đã cảnh báo Microsoft về vấn đề này vào ngày 22 tháng 6 năm nay. Hai ngày sau, Microsoft đã vô hiệu hóa SAS token, đóng lỗ hổng bảo mật. Microsoft đã tiến hành một cuộc điều tra toàn diện và kết thúc vào tháng 8.
Microsoft đã đảm bảo rằng không có dữ liệu khách hàng nào bị lộ và không có rủi ro nào đối với các dịch vụ nội bộ khác do sự cố này.
(Theo Michael Thompson)