ИИ-команда Microsoft случайно выложила на GitHub корпоративные бэкапы данных сотрудников с паролями и ключами

Команда Microsoft, занимающаяся исследованиями в области искусственного интеллекта, оказалась в центре значимого скандала. Специалисты по кибербезопасности из компании Wiz обнаружили, что IT-гигант случайно выложил в открытый доступ на GitHub огромный массив данных, включая более 30 тыс. сообщений в Microsoft Teams и корпоративные бэкапы данных сотрудников Microsoft.

Команда Wiz обнаружила данные в ходе регулярно проводимого её сканирования облачных хранилищ на предмет выявления неверной конфигурации доступа. Инцидент безопасности произошёл в результате публикации Microsoft открытой информации, связанной с тренировкой ИИ-моделей.

Пользователям репозитория предлагалось загружать ИИ-модели из облачного хранилища по ссылке. При этом выяснилось, что команда компании ошиблась с настройками, и предоставила полный доступ к хранилищу, включавшему персональные бэкапы сотрудников Microsoft с паролями к сервисам компании, всевозможные «секретные» ключи и более 30 тыс. внутренних сообщений в Microsoft Teams сотрудников Microsoft.

Хуже того, сторонним пользователям обеспечили полнофункциональный доступ к информации — они могли даже вносить правки в опубликованные материалы или удалять их (обычным пользователям документы в аккаунте в норме предоставлялись в режиме чтения).

Ошибки при выкладке в свободный доступ массивов важных данных могут привести к непредсказуемым последствиям. После того как в июне Wiz уведомила Microsoft о фактической утечке информации, последняя быстро устранила проблемы. Эксперты считают, что «могло быть хуже». В Microsoft утверждают, что данные клиентов не пострадали, а внутренним сервисам ничего не угрожает.