Các nhà nghiên cứu của bộ phận AI của Microsoft đã vô tình làm rò rỉ 38TB dữ liệu riêng tư của công ty khi xuất bản các bản cập nhật tài liệu đào tạo AI nguồn mở trên GitHub.
Vụ rò rỉ xảy ra từ tháng 7 năm 2020, được các nhà nghiên cứu tại công ty bảo mật đám mây Wiz phát hiện ba năm sau đó.
Nhóm AI của Microsoft vô tình làm lộ 38TB dữ liệu của công ty
Theo Wiz, dữ liệu bị lộ bao gồm bản sao lưu đĩa của máy trạm của hai nhân viên. Bản sao lưu đĩa chứa bí mật của công ty, khóa riêng, mật khẩu và hơn 30.000 tin nhắn Microsoft Teams nội bộ từ 359 nhân viên Microsoft.
Các nhà nghiên cứu tại Wiz đã phát hiện ra vấn đề này trong quá trình quét internet liên tục để tìm các vùng lưu trữ bị định cấu hình sai.
“Chúng tôi đã tìm thấy kho lưu trữ GitHub thuộc tổ chức Microsoft có tên chuyển giao mô hình mạnh mẽ. Kho lưu trữ này thuộc bộ phận nghiên cứu AI của Microsoft và mục đích của nó là cung cấp mã nguồn mở và các mô hình AI để nhận dạng hình ảnh,” công ty giải thích trong một bài đăng trên blog.
Người đọc kho lưu trữ GitHub được hướng dẫn tải xuống các mô hình từ URL Bộ lưu trữ Azure. Trong khi chia sẻ tệp, Microsoft đã sử dụng tính năng Azure có tên là Mã thông báo Chữ ký truy cập chia sẻ (SAS), cho phép kiểm soát hoàn toàn các tệp được chia sẻ từ tài khoản Azure Storage.
Mặc dù cấp độ truy cập chỉ có thể bị giới hạn ở các tệp cụ thể, nhưng các nhà nghiên cứu của bộ phận AI đã vô tình chia sẻ một liên kết được định cấu hình để chia sẻ toàn bộ tài khoản lưu trữ – bao gồm 38TB tệp riêng tư khác, dẫn đến rò rỉ dữ liệu.
Bên cạnh phạm vi truy cập quá mức cho phép, mã thông báo cũng bị định cấu hình sai để cho phép quyền “kiểm soát hoàn toàn” thay vì chỉ đọc. Điều này có nghĩa là kẻ tấn công không chỉ có thể xem tất cả các tệp trong tài khoản lưu trữ mà còn có thể xóa và ghi đè các tệp hiện có.
Wiz đã báo cáo sự cố lên Trung tâm phản hồi bảo mật của Microsoft (MSRC) vào ngày 22 tháng 6 năm 2023. Sự việc này đã vô hiệu hóa mã thông báo SAS vào ngày 24 tháng 6 năm 2023 để chặn tất cả quyền truy cập từ bên ngoài vào tài khoản lưu trữ Azure.
Microsoft đã hoàn tất cuộc điều tra về tác động tiềm ẩn đối với tổ chức vào ngày 16 tháng 8 năm 2023 và công khai sự việc vào thứ Hai, ngày 18 tháng 9 năm 2023.
Trong một buổi tư vấn được phát hành vào thứ Hai, nhóm MSRC cho biết: “Không có dữ liệu khách hàng nào bị lộ và không có dịch vụ nội bộ nào khác gặp rủi ro vì vấn đề này. Nguyên nhân cốt lõi của vấn đề này đã được khắc phục và hệ thống hiện được xác nhận là đang phát hiện và báo cáo chính xác về tất cả các mã thông báo SAS được cung cấp quá mức.
Nó nói thêm, “Khách hàng không cần phải thực hiện hành động nào để giải quyết vấn đề này. Cuộc điều tra của chúng tôi kết luận rằng không có rủi ro nào cho khách hàng do việc tiếp xúc này.”