A Microsoft AI kutatási részlege 2020 júliusától kezdve több tucat privát adatot szivárogtatott ki véletlenül, jelentette a Wiz felhőbiztonsági cég.
A biztonsági kutatók megállapították, hogy a világ legnagyobb szoftvervállalatának egyik alkalmazottja vonható felelősségre, aki véletlenül megosztotta a rosszul konfigurált Azure Blob felhőalapú tároló URL-linkjét. Elmondásuk szerint a nyílt forráskódú modellek mellett a belső tárhelyfiók véletlenül 38 terabájtnyi privát adatot szivárogatott ki. Többek között az alkalmazottak személyes adatainak biztonsági mentéseihez, jelszavakhoz, valamint több mint 30 ezer belsős Teams üzenethez adott hozzáférést. A Microsoft hétfőn közölte, hogy nem kerültek nyilvánosságra ügyféladatok, és más belső szolgálatások sem kerültek veszélybe az incidens miatt.
A vállalat a szivárgást a Shared Access Signature (SAS) token (jogkivonat) használatához kötötte, amely teljes ellenőrzést tett lehetővé a megosztott fájlok felett. Megfelelő használat esetén a SAS tokenek biztonságosak lehetnek a tárolt adatok megőrzésére, ám a felügyelet hiánya miatt használatuk biztonsági kockázatot jelent, amiért a kutatócég arra figyelmeztetett, hogy korlátozni kell igénybevételüket.
„A mesterséges intelligencia potenciális előnyöket nyújt a technológiai vállalatok számára. Ahogyan azonban egyre több új AI megoldásért versenyeznek, az általuk kezelt adatok további biztonsági ellenőrzést igényelnek” – jelentette ki a Wiz társalapítója és technológiai igazgatója, Ami Luttwak. Hozzátette továbbá, hogy a hatalmas adatmennyiség miatt, amivel a fejlesztőcsapatok dolgoznak, egyre nehezebb elkerülni, hogy hasonló esetek történjenek.
Az OpenAI egyékbént szintén a Microsoft saját felhőalapú számítási infrastruktúráját, az Azure-t használja a jelentős számítási igényeinek kezelésére.
