Pesquisadores de inteligência artificial da Microsoft se encontram no centro das atenções após expor inadvertidamente uma quantidade massiva de dados internos sensíveis. Os detalhes dessa falha de segurança impressionante foram revelados quando um repositório da Microsoft no GitHub se tornou o epicentro de uma controvérsia cibernética.
Descoberta acidental
A startup de segurança na nuvem, Wiz, divulgou informações chocantes após sua investigação minuciosa sobre a exposição acidental de dados hospedados na nuvem. O que eles encontraram foi um repositório no GitHub pertencente à divisão de pesquisa de inteligência artificial da gigante da tecnologia, a Microsoft.
O repositório desastroso
Este repositório, que deveria servir como um recurso para código aberto e modelos de IA para reconhecimento de imagens, continha uma instrução aparentemente inofensiva para os leitores: baixar os modelos a partir de uma URL de armazenamento Azure. No entanto, o que se seguiu foi uma descoberta alarmante.
A URL, que era destinada apenas para fornecer acesso a esses modelos, estava, de forma preocupante, configurada para conceder permissões que abrangiam a totalidade da conta de armazenamento. Este erro crasso resultou na exposição de uma quantidade colossal de dados privados.
A extensão da exposição
Os dados sensíveis expostos totalizaram uma incrível quantidade de 38 terabytes. Entre eles estavam os backups pessoais de dois computadores pertencentes a funcionários da Microsoft, o que por si só já era uma violação significativa da privacidade. Além disso, os dados continham informações pessoais delicadas, incluindo senhas para serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams, trocadas por centenas de funcionários da empresa.
A brecha de segurança
É importante destacar que a conta de armazenamento em si não foi diretamente exposta. A vulnerabilidade ocorreu porque os desenvolvedores de IA da Microsoft incluíram um token de assinatura de acesso compartilhado (SAS) excessivamente permissivo na URL. Os tokens SAS são um mecanismo da Azure usado para criar links compartilháveis que concedem acesso aos dados de uma conta de armazenamento da Azure.
Essa configuração incorreta permitia não apenas o acesso irrestrito aos dados, mas também concedia “controle total” sobre eles, em vez das permissões mais seguras “somente leitura”. Como resultado, qualquer pessoa com o conhecimento adequado poderia potencialmente deletar, modificar ou inserir conteúdo malicioso nos dados.
A importância da segurança de dados
Ami Luttwak, co-fundador e CTO da Wiz, enfatizou a necessidade de segurança rigorosa ao lidar com dados massivos no contexto da IA. Ele afirmou ao TechCrunch: “A IA desbloqueia um enorme potencial para empresas de tecnologia. No entanto, à medida que cientistas de dados e engenheiros correm para trazer novas soluções de IA para a produção, as enormes quantidades de dados que eles manipulam exigem verificações adicionais de segurança e salvaguardas.”
Luttwak também destacou que, com muitas equipes de desenvolvimento precisando manipular grandes quantidades de dados, compartilhá-los com colegas ou colaborar em projetos de código aberto público, incidentes como esse se tornam cada vez mais difíceis de monitorar e evitar.
A resposta da Microsoft
A Wiz compartilhou suas descobertas com a Microsoft em 22 de junho, levando a empresa a revogar o token SAS apenas dois dias depois, em 24 de junho. A Microsoft realizou uma investigação completa sobre o possível impacto organizacional, concluindo o processo em 16 de agosto.
Em um comunicado do Centro de Resposta de Segurança da Microsoft, foi assegurado que “nenhum dado do cliente foi exposto, e nenhum outro serviço interno foi colocado em risco por causa deste problema.”
Além disso, a Microsoft anunciou medidas proativas para fortalecer a segurança, expandindo o serviço de monitoramento do GitHub para incluir qualquer token SAS que possa ter configurações excessivamente permissivas ou expirações inadequadas.
