PUBLICIDADE
Segurança

Pesquisadores da Microsoft expuseram dados confidenciais em vazamento

Microsoft: pesquisadores de inteligência artificial acidentalmente expoem terabytes de dados sensíveis

PUBLICIDADE

Pesquisadores de inteligência artificial da Microsoft se encontram no centro das atenções após expor inadvertidamente uma quantidade massiva de dados internos sensíveis. Os detalhes dessa falha de segurança impressionante foram revelados quando um repositório da Microsoft no GitHub se tornou o epicentro de uma controvérsia cibernética.

Descoberta acidental

A startup de segurança na nuvem, Wiz, divulgou informações chocantes após sua investigação minuciosa sobre a exposição acidental de dados hospedados na nuvem. O que eles encontraram foi um repositório no GitHub pertencente à divisão de pesquisa de inteligência artificial da gigante da tecnologia, a Microsoft.

O repositório desastroso

Este repositório, que deveria servir como um recurso para código aberto e modelos de IA para reconhecimento de imagens, continha uma instrução aparentemente inofensiva para os leitores: baixar os modelos a partir de uma URL de armazenamento Azure. No entanto, o que se seguiu foi uma descoberta alarmante.

A URL, que era destinada apenas para fornecer acesso a esses modelos, estava, de forma preocupante, configurada para conceder permissões que abrangiam a totalidade da conta de armazenamento. Este erro crasso resultou na exposição de uma quantidade colossal de dados privados.

A extensão da exposição

Os dados sensíveis expostos totalizaram uma incrível quantidade de 38 terabytes. Entre eles estavam os backups pessoais de dois computadores pertencentes a funcionários da Microsoft, o que por si só já era uma violação significativa da privacidade. Além disso, os dados continham informações pessoais delicadas, incluindo senhas para serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams, trocadas por centenas de funcionários da empresa.

A brecha de segurança

É importante destacar que a conta de armazenamento em si não foi diretamente exposta. A vulnerabilidade ocorreu porque os desenvolvedores de IA da Microsoft incluíram um token de assinatura de acesso compartilhado (SAS) excessivamente permissivo na URL. Os tokens SAS são um mecanismo da Azure usado para criar links compartilháveis que concedem acesso aos dados de uma conta de armazenamento da Azure.

PUBLICIDADE

Essa configuração incorreta permitia não apenas o acesso irrestrito aos dados, mas também concedia “controle total” sobre eles, em vez das permissões mais seguras “somente leitura”. Como resultado, qualquer pessoa com o conhecimento adequado poderia potencialmente deletar, modificar ou inserir conteúdo malicioso nos dados.

A importância da segurança de dados

Ami Luttwak, co-fundador e CTO da Wiz, enfatizou a necessidade de segurança rigorosa ao lidar com dados massivos no contexto da IA. Ele afirmou ao TechCrunch: “A IA desbloqueia um enorme potencial para empresas de tecnologia. No entanto, à medida que cientistas de dados e engenheiros correm para trazer novas soluções de IA para a produção, as enormes quantidades de dados que eles manipulam exigem verificações adicionais de segurança e salvaguardas.”

Luttwak também destacou que, com muitas equipes de desenvolvimento precisando manipular grandes quantidades de dados, compartilhá-los com colegas ou colaborar em projetos de código aberto público, incidentes como esse se tornam cada vez mais difíceis de monitorar e evitar.

A resposta da Microsoft

A Wiz compartilhou suas descobertas com a Microsoft em 22 de junho, levando a empresa a revogar o token SAS apenas dois dias depois, em 24 de junho. A Microsoft realizou uma investigação completa sobre o possível impacto organizacional, concluindo o processo em 16 de agosto.

Em um comunicado do Centro de Resposta de Segurança da Microsoft, foi assegurado que “nenhum dado do cliente foi exposto, e nenhum outro serviço interno foi colocado em risco por causa deste problema.”

Além disso, a Microsoft anunciou medidas proativas para fortalecer a segurança, expandindo o serviço de monitoramento do GitHub para incluir qualquer token SAS que possa ter configurações excessivamente permissivas ou expirações inadequadas.

PUBLICIDADE

Thiago Santos

Sou um estudante de Ciências e Tecnologia, apaixonado por inovação e sempre antenado nas últimas tendências tecnológicas. Acredito que o futuro está intrinsecamente ligado ao avanço da ciência, e estou empenhado em contribuir para esse progresso. Além dos estudos, sou um apaixonado por cinema e séries. Nos momentos de lazer, valorizo a companhia dos amigos. Gosto de compartilhar risadas, experiências e construir memórias com aqueles que são importantes para mim. Essa convivência é fundamental para equilibrar minha busca por conhecimento e meu amor pelo entretenimento e tecnologia.

Deixe uma resposta

Botão Voltar ao topo
Fechar

Permita anúncios para apoiar nosso site

📢 Desative o bloqueador de anúncios ou permita os anúncios em nosso site para continuar acessando nosso conteúdo gratuitamente. Os anúncios são essenciais para mantermos o jornalismo de qualidade.