Seguridad | Exposición

Microsoft AI expone accidentalmente 38TB de datos sensibles en GitHub

Microsoft AI, la división de inteligencia artificial de Microsoft, ha dejado expuestos accidentalmente decenas de terabytes de datos sensibles. Este incidente se produjo durante la publicación de un conjunto de datos de formación de código abierto en la popular plataforma de desarrollo GitHub.

Descubrimiento del fallo de seguridad

La startup de seguridad en la nube, Wiz, reveló que había descubierto un repositorio de GitHub perteneciente a la división de investigación de IA de Microsoft. Esta revelación fue parte de su trabajo continuo sobre la exposición accidental de datos alojados en la nube.

Los lectores del repositorio de GitHub, que proporcionaba código de fuente abierta y modelos de IA para el reconocimiento de imágenes, recibieron instrucciones para descargar los modelos desde una URL de Azure Storage. Sin embargo, Wiz descubrió que esta URL estaba configurada para otorgar permisos sobre toda la cuenta de almacenamiento, exponiendo por error datos privados adicionales.

Detalles de la exposición de datos

Los datos expuestos incluían 38 terabytes de información sensible, incluyendo las copias de seguridad personales de dos ordenadores de empleados de Microsoft. Además, los datos contenían otra información personal sensible, incluyendo contraseñas para servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de cientos de empleados de Microsoft.

La URL, que había estado exponiendo estos datos desde 2020, también estaba mal configurada para permitir "control total" en lugar de permisos de "solo lectura", según Wiz. Esto significaba que cualquiera que supiera dónde buscar podría potencialmente borrar, reemplazar e inyectar contenido malicioso en ellos.

La respuesta de Microsoft

Wiz compartió sus hallazgos con Microsoft el 22 de junio, y Microsoft revocó el token SAS dos días después, el 24 de junio. Microsoft afirmó que había completado su investigación sobre el impacto organizacional potencial el 16 de agosto.

En un post de blog, el Centro de Respuesta de Seguridad de Microsoft afirmó que "ningún dato de cliente fue expuesto, y ningún otro servicio interno corrió riesgo debido a este problema".

Microsoft también ha señalado que, como resultado de la investigación de Wiz, ha ampliado el servicio de supervisión de secretos de GitHub. Este servicio supervisa todos los cambios de código de fuente abierta pública en busca de exposiciones en texto plano de credenciales y otros secretos, para incluir cualquier token SAS que pueda tener expiraciones o privilegios excesivamente permisivos.


Podcast El Desván de las Paradojas
Publicidad


Otras noticias • Seguridad

Vulnerabilidad crítica

Vulnerabilidad en TeleMessage expone datos sensibles de funcionarios

La vulnerabilidad en TeleMessage, una aplicación de mensajería utilizada por funcionarios de alto nivel, expone datos sensibles a hackers. La falta de transparencia y respuesta...

Vulnerabilidad cibernética

Ciberataque al Co-op revela vulnerabilidad en comercio minorista británico

El ciberataque al Co-op ha expuesto la vulnerabilidad del comercio minorista en el Reino Unido, afectando a 6,5 millones de clientes. La falta de ciberseguridad...

Privacidad comprometida

Malware chino Massistant amenaza la privacidad de usuarios móviles

El malware Massistant, utilizado por las autoridades chinas, permite extraer datos de teléfonos móviles confiscados, planteando serias preocupaciones sobre la privacidad. Su instalación es sencilla...

Cibercrimen creciente

Exsoldado detenido por extorsión cibernética en telecomunicaciones

Cameron John Wagenius, exsoldado estadounidense, fue detenido por infiltrarse en empresas de telecomunicaciones y extorsionarlas con datos robados. Su caso resalta la creciente amenaza del...

Ciberseguridad desequilibrada

Trump destina 1.000 millones a ciberofensivas y genera críticas

La administración Trump destina 1.000 millones de dólares a operaciones cibernéticas ofensivas, generando críticas por recortes en ciberdefensa. Legisladores y expertos advierten sobre la falta...

Ciberataque sanitario

Ciberataque a Episource expone datos de 5.4 millones de pacientes

Un ciberataque a Episource ha comprometido la información personal y médica de más de 5.4 millones de pacientes en EE. UU. Este incidente resalta las...

Dilemas éticos

Paragon enfrenta dilemas éticos tras escándalo de software espía

Paragon, empresa de software espía, enfrenta dilemas éticos tras su escándalo en Italia y un contrato con ICE. La presión internacional por el respeto a...

Críticas seguridad

Bitchat de Dorsey enfrenta críticas por inseguridad y vulnerabilidades

El lanzamiento de Bitchat por Jack Dorsey ha generado críticas por la falta de pruebas de seguridad y vulnerabilidades en su diseño. Aunque promete mensajería...