Alerta

Descuido monumental: Microsoft expone terabytes de datos sensibles, ¿a quiénes afecta?

Un error de los investigadores de AI de Microsoft lleva a la exposición de decenas de terabytes de información delicada, incluyendo contraseñas y claves privadas, en un repositorio de código abierto.

En esta noticia

Investigadores de Microsoft AI cometieron un error al exponer decenas de terabytes de datos sensibles, incluyendo claves privadas y contraseñas, al publicar un conjunto de datos de entrenamiento de código abierto en GitHub.

En un estudio compartido por el sitio web TechCrunch, la startup de seguridad en la nube Wiz reveló que,  durante su trabajo en la exposición accidental de datos alojados en la nube, descubrió un repositorio en GitHub perteneciente a la división de investigación de inteligencia artificial (IA) de Microsoft.

Aquellos que accedían al repositorio en GitHub, que ofrecía código abierto y modelos de IA para reconocimiento de imágenes, recibían instrucciones para descargar los modelos desde una URL de almacenamiento de la nube de Microsoft, Azure. 

Sin embargo, Wiz descubrió que dicha URL estaba configurada para conceder permisos en toda la cuenta de almacenamiento, exponiendo accidentalmente datos privados adicionales.

La startup de seguridad en la nube Wiz reveló que descubrió un repositorio en GitHub que exponía accidentalmente datos alojados en la nube. (Imagen: Shutterstock)

¿Qué datos de Microsoft se filtraron?

Estos datos comprendían 38 terabytes de información delicada, incluidas las copias de seguridad personales de las computadoras de dos empleados de Microsoft. También se encontró en los datos otra información personal sensible, como contraseñas para servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Microsoft Teams de cientos de empleados de Microsoft.

La URL, que había estado exponiendo estos datos desde 2020, también estaba mal configurada, permitiendo un control total en lugar de permisos de solo lectura, lo que significaba que cualquier persona que supiera dónde buscar podía potencialmente eliminar, reemplazar o insertar contenido malicioso.

Wiz señaló que la cuenta de almacenamiento no estaba expuesta directamente. En cambio, los desarrolladores de IA de Microsoft incluyeron un token de acceso compartido (SAS) excesivamente permisivo en la URL. Los tokens SAS son un mecanismo utilizado por Azure que permite a los usuarios crear enlaces compartibles para acceder a los datos de una cuenta de Azure.

Ami Luttwak, cofundador y CTO de Wiz, comentó a TechCrunch que aunque la IA tiene un gran potencial, la cantidad masiva de datos que manejan los científicos y desarrolladores exige más controles de seguridad. Dada la necesidad de muchos equipos de desarrollo de trabajar con grandes volúmenes de datos y compartir proyectos de código abierto, situaciones como la de Microsoft son cada vez más difíciles de monitorear y prevenir.

Los datos filtrados comprendían 38 terabytes de información delicada, incluidas las copias de seguridad personales de las computadoras de dos empleados de Microsoft. (Imagen: Shutterstock)

¿Qué hizo Microsoft tras enterarse de la filtración?

Wiz informó a Microsoft de sus hallazgos el 22 de junio y Microsoft revocó el token SAS dos días después, el 24 de junio. Microsoft concluyó su investigación sobre el posible impacto organizacional el 16 de agosto.

En una entrada de blog compartido con TechCrunch antes de su publicación, el Centro de Respuesta de Seguridad de Microsoft afirmó que ningún dato de cliente fue expuesto y que ningún otro servicio interno estuvo en riesgo debido a este problema.

Como resultado de la investigación de Wiz, Microsoft amplió el servicio de monitoreo de secretos en GitHub, que supervisa todos los cambios en el código fuente abierto en busca de exposición de credenciales y otros secretos en texto plano, para incluir cualquier token SAS que pueda tener permisos o caducidades excesivamente permisivas.

Temas relacionados
Más noticias de Filtración de datos