Microsoft AI: condivisi per sbaglio 38 TB di dati privati

Pericolosa “gaffe” (se così si può chiamare) in casa Microsoft. L’azienda di Redmond ha infatti accidentalmente rivelato circa 38 TB di dati privati su GitHub. A scoprire questo problema di privacy è stata la società di sicurezza cloud Wiz. L'azienda ha infatti trovato il repository GitHub “robust-models-tranfer”, appartenente alla divisione Microsoft AI. Questo repository comprendeva anche un backup su disco della workstation di due ex dipendenti dell’azienda con informazioni personali, password e altri 30.000 messaggi interni di Microsoft Teams, provenienti da 359 dipendenti dell’azienda. Il repository non è più accessibile, ma prima della rimozione conteneva codice sorgente e modelli di apprendimento automatico di un documento di ricerca del 2020 intitolato “Do Adversarially Robust ImageNet Models Transfer Better?”

Microsoft: "nessun cliente è stato esposto a rischi"

Wiz ha segnalato il problema a Microsoft lo scorso 20 giugno. Come rivelato nel proprio rapporto, gli sviluppatori di Microsoft hanno utilizzato una funzione di Azure chiamata “token SAS” (acronimo di Shared Access Signature). Questa consente di condividere dati dagli account di Azure Storage. Dopo la segnalazione, l’azienda di Redmond ha revocato il token e bloccato tutti gli accessi esterni all'account di archiviazione. Il “codice rosso” è rientrato in soli due giorni. Per rassicurare gli utenti, Microsoft ha inoltre dichiarato in un post sul suo blog che: “Nessun dato dei clienti è stato esposto e nessun servizio interno è stato messo a rischio a causa di questo problema”.

Microsoft ha affermato inoltre che, nonostante venga eseguita sempre la scansione dei repository pubblici per i propri account, l'URL SAS specifico trovato da Wiz è stato erroneamente contrassegnato come falso positivo. Dopo aver risolto tempestivamente il problema, l’azienda di Redmond ha invitato i clienti a non eseguire alcuna azione aggiuntiva per rimanere al sicuro. Per evitare rischi simili in futuro, Microsoft ha dichiarato di aver ampliato il proprio servizio di scansione segreta. In questo modo verranno inclusi tutti i token SAS (Shared Access Signature) con scadenze o privilegi eccessivamente permissivi.