Microsoft AI, la división de inteligencia artificial de Microsoft, ha dejado expuestos accidentalmente decenas de terabytes de datos sensibles. Este incidente se produjo durante la publicación de un conjunto de datos de formación de código abierto en la popular plataforma de desarrollo GitHub.
Descubrimiento del fallo de seguridad
La startup de seguridad en la nube, Wiz, reveló que había descubierto un repositorio de GitHub perteneciente a la división de investigación de IA de Microsoft. Esta revelación fue parte de su trabajo continuo sobre la exposición accidental de datos alojados en la nube.
Los lectores del repositorio de GitHub, que proporcionaba código de fuente abierta y modelos de IA para el reconocimiento de imágenes, recibieron instrucciones para descargar los modelos desde una URL de Azure Storage. Sin embargo, Wiz descubrió que esta URL estaba configurada para otorgar permisos sobre toda la cuenta de almacenamiento, exponiendo por error datos privados adicionales.
Detalles de la exposición de datos
Los datos expuestos incluían 38 terabytes de información sensible, incluyendo las copias de seguridad personales de dos ordenadores de empleados de Microsoft. Además, los datos contenían otra información personal sensible, incluyendo contraseñas para servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de cientos de empleados de Microsoft.
La URL, que había estado exponiendo estos datos desde 2020, también estaba mal configurada para permitir "control total" en lugar de permisos de "solo lectura", según Wiz. Esto significaba que cualquiera que supiera dónde buscar podría potencialmente borrar, reemplazar e inyectar contenido malicioso en ellos.
La respuesta de Microsoft
Wiz compartió sus hallazgos con Microsoft el 22 de junio, y Microsoft revocó el token SAS dos días después, el 24 de junio. Microsoft afirmó que había completado su investigación sobre el impacto organizacional potencial el 16 de agosto.
En un post de blog, el Centro de Respuesta de Seguridad de Microsoft afirmó que "ningún dato de cliente fue expuesto, y ningún otro servicio interno corrió riesgo debido a este problema".
Microsoft también ha señalado que, como resultado de la investigación de Wiz, ha ampliado el servicio de supervisión de secretos de GitHub. Este servicio supervisa todos los cambios de código de fuente abierta pública en busca de exposiciones en texto plano de credenciales y otros secretos, para incluir cualquier token SAS que pueda tener expiraciones o privilegios excesivamente permisivos.
Otras noticias • Seguridad
El PRESS Act enfrenta incertidumbre pese a apoyo bipartidista
El PRESS Act busca proteger a los periodistas en EE.UU. de revelar sus fuentes confidenciales, en respuesta a abusos gubernamentales. A pesar del apoyo bipartidista,...
Hackers chinos infiltran redes estadounidenses generando alarma por seguridad
Un grupo de hackers llamado Salt Typhoon, vinculado al gobierno chino, ha infiltrado las redes de telecomunicaciones estadounidenses, accediendo a comunicaciones sensibles. Esto ha generado...
Senadores exigen modernización de comunicaciones militares por vulnerabilidades críticas
La vulnerabilidad de las comunicaciones militares del DOD ha sido denunciada por senadores estadounidenses, quienes critican su dependencia de tecnologías obsoletas y la falta de...
Ciberataque chino compromete redes de telecomunicaciones en EE. UU
Un ataque cibernético del grupo chino Salt Typhoon ha comprometido las redes de telecomunicaciones en EE. UU., afectando a empresas como AT&T y Verizon. Este...
NHS del Reino Unido sufre ataques de ransomware preocupantes
El NHS del Reino Unido enfrenta ataques de ransomware que comprometen la seguridad de hospitales y datos de pacientes. La situación genera preocupación pública y...
Pegasus expone riesgos de espionaje corporativo, urge ciberseguridad
El uso del software espía Pegasus en líderes empresariales revela el creciente riesgo de espionaje corporativo. Las empresas deben reforzar su ciberseguridad, actualizar dispositivos y...
FTC prohíbe recolección de datos sin consentimiento, avanza privacidad
La decisión de la FTC de prohibir a Gravy Analytics y Mobilewalla la recolección de datos de ubicación sin consentimiento es un avance en la...
CFPB propone regular intermediarios de datos para proteger la privacidad
La propuesta del CFPB en EE. UU. busca regular a los intermediarios de datos, cerrando vacíos legales que permiten la venta de información personal sin...
Lo más reciente
- 1
Elon Musk se convierte en mayor donante político para 2024
- 2
Nowadays revoluciona la planificación de eventos con inteligencia artificial
- 3
Meta lanza Llama 3.3 70B, rendimiento mejorado a menor costo
- 4
Google Photos presenta "Recap 2024" con resúmenes anuales personalizados
- 5
TikTok podría ser prohibido en EE.UU. tras fallo judicial
- 6
Heartcore Capital lanza Fondo V de 180 millones de euros
- 7
Fly Ventures lanza fondo de 80 millones para inteligencia artificial