Các nhà nghiên cứu AI của Microsoft làm rò rỉ nhầm 38TB dữ liệu
Nhân viên Microsoft đã để lộ đường link cho phép truy cập toàn quyền vào tài khoản lưu trữ Azure.
Theo Engadget, một nhóm nhân viên nghiên cứu AI của Microsoft vừa gây ra một tình huống rò rỉ dữ liệu dở khóc dở cười. Theo đó, nhóm này đã tải các dữ liệu đào tạo lên GitHub để cung cấp mã nguồn mở và mô hình AI nhận dạng hình ảnh cho những nhà nghiên cứu khác, nhưng không may đã vô tình làm lộ 38TB dữ liệu cá nhân của công ty.
Sự việc đã được công ty an ninh mạng Wiz phát hiện, với một đường link có trong các tệp chứa bản sao lưu máy tính của nhân viên Microsoft. Wiz cho biết những bản sao lưu đó chứa mật khẩu của các dịch vụ của Microsoft, khóa bí mật và hơn 30.000 tin nhắn Teams nội bộ từ hàng trăm nhân viên của gã khổng lồ công nghệ.
Các nhân viên của Microsoft đã “hớ hênh” để lộ 38TB dữ liệu Azure.
Về nguyên nhân gây ra sự cố rò rỉ dữ liệu, nhà nghiên cứu của Microsoft đã sử dụng tính năng Azure có tên là “SAS Tokens”, cho phép người dùng tạo các đường link để cung cấp cho người khác quyền truy cập vào dữ liệu trong tài khoản Azure Storage của họ. Người dùng có thể chọn thông tin nào được phép truy cập thông qua đường link SAS, cho dù đó là một tệp duy nhất, hay thậm chí toàn bộ kho dữ liệu. Trong trường hợp của Microsoft, các nhà nghiên cứu đã chia sẻ một liên kết có quyền truy cập vào toàn bộ tài khoản lưu trữ.
Wiz đã phát hiện và báo cáo vấn đề bảo mật cho Microsoft vào ngày 22/6 và công ty đã thu hồi token SAS trước ngày 23/6. Microsoft cũng giải thích rằng họ đã quét lại tất cả các kho lưu trữ công khai của hãng. Microsoft cũng đưa ra lời đảm bảo trong báo cáo riêng của công ty về vụ việc, rằng “không có dữ liệu khách hàng nào bị lộ và không có dịch vụ nội bộ nào khác gặp rủi ro”.
Kể từ đó, công ty đã khắc phục sự cố để hệ thống có thể phát hiện các token SAS quá “dễ dãi”. Mặc dù đường link mà Wiz phát hiện đã được sửa, nhưng các token SAS bị thiết lập sai có thể dẫn đến rò rỉ dữ liệu và các vấn đề lớn về quyền riêng tư.
Nguồn: [Link nguồn]
Microsoft mới đây đã cung cấp cho ứng dụng Paint trên Windows một tính năng tương tự chức năng của Samsung Image Clipper.