Microsoft AI, la división de inteligencia artificial de Microsoft, ha dejado expuestos accidentalmente decenas de terabytes de datos sensibles. Este incidente se produjo durante la publicación de un conjunto de datos de formación de código abierto en la popular plataforma de desarrollo GitHub.
Descubrimiento del fallo de seguridad
La startup de seguridad en la nube, Wiz, reveló que había descubierto un repositorio de GitHub perteneciente a la división de investigación de IA de Microsoft. Esta revelación fue parte de su trabajo continuo sobre la exposición accidental de datos alojados en la nube.
Los lectores del repositorio de GitHub, que proporcionaba código de fuente abierta y modelos de IA para el reconocimiento de imágenes, recibieron instrucciones para descargar los modelos desde una URL de Azure Storage. Sin embargo, Wiz descubrió que esta URL estaba configurada para otorgar permisos sobre toda la cuenta de almacenamiento, exponiendo por error datos privados adicionales.
Detalles de la exposición de datos
Los datos expuestos incluían 38 terabytes de información sensible, incluyendo las copias de seguridad personales de dos ordenadores de empleados de Microsoft. Además, los datos contenían otra información personal sensible, incluyendo contraseñas para servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de cientos de empleados de Microsoft.
La URL, que había estado exponiendo estos datos desde 2020, también estaba mal configurada para permitir "control total" en lugar de permisos de "solo lectura", según Wiz. Esto significaba que cualquiera que supiera dónde buscar podría potencialmente borrar, reemplazar e inyectar contenido malicioso en ellos.
La respuesta de Microsoft
Wiz compartió sus hallazgos con Microsoft el 22 de junio, y Microsoft revocó el token SAS dos días después, el 24 de junio. Microsoft afirmó que había completado su investigación sobre el impacto organizacional potencial el 16 de agosto.
En un post de blog, el Centro de Respuesta de Seguridad de Microsoft afirmó que "ningún dato de cliente fue expuesto, y ningún otro servicio interno corrió riesgo debido a este problema".
Microsoft también ha señalado que, como resultado de la investigación de Wiz, ha ampliado el servicio de supervisión de secretos de GitHub. Este servicio supervisa todos los cambios de código de fuente abierta pública en busca de exposiciones en texto plano de credenciales y otros secretos, para incluir cualquier token SAS que pueda tener expiraciones o privilegios excesivamente permisivos.
Otras noticias • Seguridad
Arrestados en Ucrania cinco individuos por ataques globales de ransomware
Cinco individuos han sido arrestados por ataques de ransomware a nivel mundial. Los arrestos se llevaron a cabo en Ucrania después de redadas en 30...
Despiden a funcionarios de ciberseguridad en Ucrania por desvío
El gobierno ucraniano ha despedido a dos altos funcionarios de ciberseguridad por presunto desvío de fondos. Se sospecha que los ciberdelincuentes que han atacado a...
Hackers roban datos personales de 1,6 millones de pacientes médicos
Hackers han accedido a los datos personales de más de 1,6 millones de personas en una brecha de seguridad en la plataforma de atención médica...
Samsung admite brecha de datos en Reino Unido por hackers
Samsung ha admitido una brecha de datos que afectó a los clientes del Reino Unido, donde hackers accedieron a información personal durante un año. Los...
Ciberataque respaldado por Rusia afecta a residentes de Maine
Más de un millón de residentes de Maine fueron afectados por un ciberataque respaldado por Rusia que aprovechó una vulnerabilidad en el sistema de transferencia...
Inversión en ciberseguridad se dispara y Xage Security se expande
Durante el tercer trimestre de 2023, la inversión en ciberseguridad ha aumentado, alcanzando un valor total de 1.600 millones de dólares. La startup Xage Security...
Barracuda alerta sobre grave vulnerabilidad en su hardware a clientes
Barracuda ha advertido a sus clientes sobre una grave vulnerabilidad en su hardware que puede ser explotada por hackers. La compañía ha instado a los...
Víctimas de ransomware siguen pagando a hackers, sin garantías
A pesar de la promesa conjunta de no pagar rescates a los hackers, las víctimas de ransomware continúan pagando para recuperar sus datos. Esto alimenta...
Lo más reciente
- 1
Flow48 recauda $25 millones para expandir modelo de financiamiento basado en ingresos en MENA
- 2
Microsoft se prepara para lanzar tienda móvil de Xbox
- 3
Elon Musk se disculpa y promete cambiar tras controversias
- 4
Capsule revoluciona el consumo de noticias con inteligencia artificial
- 5
Juez federal bloquea prohibición de TikTok en Montana por inconstitucionalidad
- 6
Telegram mejora funciones de canales para competir con WhatsApp
- 7
Anduril presenta Roadrunner, el dron autónomo de combate aéreo