O fator humano volta a provocar um lapso que pode ficar bastante caro à Microsoft quando uma equipa de investigadores a trabalhar em Inteligência Artificial expuseram um enorme acervo de dados. Foram Terabytes de informação interna sensível a ser exposta.
O intuito era nobre. Divulgar e disponibilizar um grande acervo de dados úteis num armazém digital ou storage bucket divulgado no repositório GitHub com o propósito de agilizar o desenvolvimento de soluções baseadas em IA. A execução, contudo, foi menos perfeita.
Acervo de 38 TB ficou acessível com vários dados sensíveis da Microsoft
Tal como avança a publicação TechCrunch, a descoberta foi feita pela startup dedicada à segurança das soluções de armazenamento na nuvem ou cloud, a Wiz. Aponta esta fonte que o repositório do GitHub pertencente à divisão da Microsoft dedicada à IA cometeu um lapso de grandes proporções, expondo informações sensíveis da própria empresa.
Ao trabalhar num novo algoritmo de reconhecimento de imagens e modelos de IA, conteúdo disponibilizado gratuitamente pela Microsoft através desse mesmo repositório, algo mais estava presente. Segundo a Wiz, alguém deu demasiadas permissões a milhares de ficheiros armazenados na cloud.
Todos os 38 Terabytes de informação armazenada pela Microsoft na cloud em questão podiam ser acedidos por qualquer interessado, contendo muito mais que os modelos de IA a partilhar. Ou seja, além do suposto, conseguíamos aceder também ao que não era suposto.
Ficheiros foram expostos por engano através do GitHub
Os ficheiros indevidamente expostos incluíam vários backups de computadores pessoais de pelo menos dois trabalhadores da Microsoft. Além disso, continha informações servíveis de muitos outros trabalhadores, desde palavras-passe para as plataformas e serviços da Microsoft, bem como mais de 30 000 mensagens internas enviadas através do Microsoft Teams.
Dito isto, bastava um URL (hiperligação) para aceder a um enorme acervo que datava já de 2020. Tudo isto porque em vez de conceder permissões de "Ver Apenas", alguém se enganou nos cliques e selecionou a opção de "Controlo Total", aponta a Wiz.
O risco acrescido reside na possibilidade de um agente mal-intencionado substituir, por exemplo, alguns destes ficheiros por software malicioso. Na prática, podendo ganhar aqui um vetor de acesso, um caminho para entrar no seio da Microsoft e dos seus serviços.
A Wiz, entidade que encontrou e se apercebeu da magnitude do erro, notificou prontamente a Microsoft no passado dia 22 de junho. A partir daí, a Microsoft terá revogado as permissões de acesso ao acervo em questão, mas só passado dois dias a 24 de junho.
Entretanto, a empresa terá completado uma investigação de segurança com término a 16 de agosto. Agora, resta aguardar para conhecer o verdadeiro impacto que esta brecha acidental possa ter causado na tecnológica norte-americana.
Editores 4gnews recomendam:
