Il team AI di Microsoft ha commesso un errore enorme facendo trapelare 38 TB di dati privati dell'azienda. Un rapporto ha rilevato che questi dati contenevano informazioni riservate come password per i servizi Microsoft, chiavi segrete e oltre 30 messaggi interni di oltre 000 dipendenti Microsoft che utilizzano Microsoft Teams.
Secondo un rapporto di Wiz, il team AI del colosso tecnologico ha reso pubblica una raccolta di dati di addestramento, costituiti da codice open source e modelli AI utilizzati per il riconoscimento delle immagini. Successivamente, a coloro che hanno visitato lo spazio di archiviazione Github è stato fornito un collegamento da Azure che può essere utilizzato per scaricare questi modelli.
Leggi anche: Violazione CoWin: quali dati sensibili potrebbero far parte di questa fuga di notizie?
Le cose sono andate storte quando il collegamento fornito dal team AI di Microsoft ha consentito a persone casuali di accedere non solo per verificare cosa c'era nell'account di archiviazione di Azure, ma ha anche fornito loro l'accesso per interrompere il sistema, inclusa la possibilità di apportare modifiche come download, sovrascrittura, ecc. o eliminare file.
Inoltre, il report ha rilevato che la causa di questo problema erano i token di firma di accesso condiviso, una funzionalità di Azure. Forniva collegamenti speciali che potevano essere utilizzati per accedere ai dati di archiviazione di Azure, ma il problema era che questo particolare collegamento era destinato a fornire accesso completo all'utente. In generale, potrebbero esserci alcune restrizioni e limitazioni nei collegamenti.
Leggi anche: La fuga di dati di WhatsApp mette in vendita 500 milioni di informazioni sul dark web
Nel rapporto si menzionava anche che i dati privati di Microsoft erano stati divulgati nel 2020, ma i professionisti hanno informato l'azienda il 22 giugno 2023. Successivamente, questi token di firma di accesso condiviso sarebbero stati elaborati in due giorni. Secondo il rapporto, il problema è stato completamente risolto da Microsoft in agosto.
Microsoft ha inoltre assicurato che non sono trapelati dati privati di clienti e aziende.