30 000 soukromých zpráv se válelo na síti. Kvůli jediné chybě Microsoftu

Bezpečnostní incident sahá až do roku 2020, kdy oddělení výzkumu AI v Mirosoftu přispívalo daty do open source AI výukových modelů na veřejném úložišti GitHub, přiblížil server Bleeping Computer.

Na tom by nebylo nic divného, protože modely umělé inteligence potřebují ke svému trénování obrovské porce dat. Běžně jsou proto „krmeny“ takovýmito daty v zabezpečené formě, aby data nebyl schopen nikdo rozklíčovat.

Problém byl ale v tom, že některý z techniků Microsoftu spojil tato data s tokenem SAS (Shared Access Signature), který v praxi umožňoval plnou kontrolu nad sdílenými soubory. Tento sdílený přístupový podpis v podstatě poskytoval přístup přímo k uloženým datům.

„Je těžké sledovat tyto tokeny, protože Microsoft neposkytuje centralizovaný způsob, jak je spravovat v rámci Portalu Azure. Kromě toho lze tyto tokeny nakonfigurovat tak, aby platily prakticky donekonečna, což zvyšuje riziko jejich zneužití,“ varovala Ami Luttwaková, spoluzakladatelka společnosti Wiz.

Na možné zneužití této v podstatě jediné chyby – nesprávně nakonfigurovaného tokenu SAS – přišla až o tři roky později právě společnost Wiz. Ta se specializuje na bezpečnost dat v cloudu, tedy v internetových úložištích, jako je právě cloudová platforma Azure, ve které byla zmiňovaná data uložena.

Microsoft byl na chybu upozorněn 22. června, už 24. června byl omezen veškerý externí přístup, aby se k datům nikdo nedostal. Společnost Wiz s ohledem na možná bezpečnostní rizika stejně raději čekala a informace o úniku dat zveřejnila až tento týden v pondělí.

Bezpečnostním expertům z Wizu se přesto ještě předtím podařilo stáhnout 38 TB soukromých dat. Balík obsahoval přístupová hesla do různých služeb Microsoftu, tajné klíče a více než 30 000 soukromých zpráv z aplikace Microsoft Teams pocházejících od 356 zaměstnanců amerického softwarového gigantu.

Bezpečnostní společnost Wiz dokonce zveřejnila i jednu z konverzací mezi dvěma zaměstnanci Microsoftu, aby věrohodnost dat prokázala. Jména i obsah konverzace byl rozmazán, aby nebyli zaměstnanci nijak poškozeni.

Vše nasvědčuje tomu, že k datům získali přístup pouze bezpečnostní experti Wizu, tedy že se k nim touto cestou nedostal nikdo neoprávněný, kdo by je mohl zneužít.

Bezpečnostní tým Microsoftu zdůraznil, že žádná zákaznická data neunikla. Běžní uživatelé se tedy nemusí ničeho obávat. Šlo podle nich skutečně pouze o interní data, která byla určena pro výuku modelů umělé inteligence.

„AI odemyká obrovský potenciál pro technologické společnosti. Jak se však datoví vědci a inženýři předhánějí v uvedení nových řešení umělé inteligence do výroby, obrovské množství dat, které zpracovávají, vyžaduje dodatečné bezpečnostní kontroly a zabezpečení,“ apelovala Luttwaková.