Ponad 30 tys. wiadomości z Teamsów trafiło do sieci bez zgody użytkowników. Winni pracownicy Microsoftu

Ponad 30 tys. wiadomości z Teamsów trafiło do sieci bez zgody użytkowników. Winni pracownicy Microsoftu

Microsoft, gdy został poinformowany o zdarzeniu, szybko usunął ujawnione dane.

Zespół firmy zajmującej się bezpieczeństwem w chmurze, Wiz, odkrył narażenie danych przechowywanych na platformie szkoleniowej AI za pośrednictwem źle skonfigurowanego odsyłacza. Dane zostały udostępnione przez zespół badawczy Microsoftu.

Specjaliści przygtowali dane, a następnie polecili współpracownikom, aby pobierać je z repozytorium z modelami AI. Adres miał ograniczać uprawnienia do wybranej grupy, ale ostatecznie dane były dostępne publicznie. Dodatkowo użytkownicy otrzymali pełne prawa do kontroli, a nie tylko do odczytu. Oznaczało to, że mogli usuwać i nadpisywać istniejące pliki.

Co trafiło do sieci?

Ujawnione dane obejmowały kopie zapasowe komputerów osobistych pracowników Microsoftu, które zawierały hasła do usług Microsoftu, tajne klucze i ponad 30 tys. wiadomości z komunikatora Microsoft Teams od 359 pracowników.

Otwarte dzielenie się danymi jest kluczowym elementem szkolenia modeli AI, ale udostępnianie większej ilości danych naraża firmy na większe ryzyko, jeśli są one udostępniane nieprawidłowo.

Firma Wiz podzieliła się doniesieniami w czerwcu z Microsoftem, który szybko usunął wszystkie pliki. Teraz Wiz pozwala sobie na informowanie o sprawie wszystkich zainteresowanych.

Pytany o komentarz, rzecznik Microsoftu powiedział: „Potwierdziliśmy, że żadne dane klientów nie zostały ujawnione i żadne inne wewnętrzne usługi nie były narażone na ryzyko”.

Microsoft przyznał też, że zbadał już i naprawił incydent z udziałem pracownika, który udostępnił URL w publicznym repozytorium GitHub.

Źródło https://businessinsider.com.pl/technologie/blad-pracownikow-microsoftu-30-tys-wiadomosci-z-teamsow-w-sieci/zxz8xwc

Popularny