Uma equipe de pesquisa de IA da Microsoft que carregou dados de treinamento no GitHub em um esforço para oferecer a outros pesquisadores código-fonte aberto e modelos de IA para reconhecimento de imagem expôs inadvertidamente 38 TB de dados pessoais. Wiz, uma empresa de segurança cibernética, descoberto um link incluído nos arquivos que continham backups dos computadores dos funcionários da Microsoft. Esses backups continham senhas de serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Teams de centenas de funcionários da gigante da tecnologia, diz Wiz. A Microsoft garante em seu próprio relatório do incidente, no entanto, que “nenhum dado do cliente foi exposto e nenhum outro serviço interno foi colocado em risco”.
O link foi incluído deliberadamente nos arquivos para que pesquisadores interessados pudessem baixar modelos pré-treinados – essa parte não foi acidental. Os pesquisadores da Microsoft usaram um recurso do Azure chamado “tokens SAS”, que permite aos usuários criar links compartilháveis que dão a outras pessoas acesso aos dados em sua conta de armazenamento do Azure. Os usuários podem escolher quais informações podem ser acessadas por meio de links SAS, seja um único arquivo, um contêiner completo ou todo o armazenamento. No caso da Microsoft, os pesquisadores compartilharam um link que dava acesso à conta de armazenamento completa.
Wiz descobriu e relatou o problema de segurança à Microsoft em 22 de junho, e a empresa revogou o token SAS em 23 de junho. A Microsoft também explicou que verifica novamente todos os seus repositórios públicos, mas seu sistema marcou esse link específico como um “falso positivo”. ” Desde então, a empresa corrigiu o problema, para que seu sistema possa detectar tokens SAS que são também permissivo do que o pretendido no futuro. Embora o link específico detectado pelo Wiz tenha sido corrigido, tokens SAS configurados incorretamente podem levar a vazamentos de dados e grandes problemas de privacidade. A Microsoft reconhece que “os tokens SAS precisam ser criados e manuseados adequadamente” e também publicou uma lista de práticas recomendadas ao usá-los, que ela mesma provavelmente (e esperançosamente) pratica.
Reescreva o texto para BR e mantenha a HTML tags