Rejoignez-nous
Divers

L’équipe Microsoft AI divulgue accidentellement 38 To de données d’entreprise privée

Pierre

Date de publication :

Publié il y a 1 an

le

L’équipe Microsoft AI divulgue accidentellement 38 To de données d’entreprise privée

Oups.

Les chercheurs en IA de Microsoft ont commis une énorme erreur.

Selon un nouveau rapport de la société de sécurité cloud Wiz, l’équipe de recherche de Microsoft AI a accidentellement divulgué 38 To de données privées de l’entreprise.

38 téraoctets. Cela fait beaucoup de données.

Les données exposées comprenaient des sauvegardes complètes des ordinateurs de deux employés. Ces sauvegardes contenaient des données personnelles sensibles, notamment des mots de passe d’accès aux services Microsoft, des clés secrètes et plus de 30 000 messages internes Microsoft Teams provenant de plus de 350 employés de Microsoft.

Alors, comment est-ce arrivé? Le rapport explique que l’équipe IA de Microsoft a téléchargé un ensemble de données de formation contenant du code open source et des modèles d’IA pour la reconnaissance d’images. Les utilisateurs qui sont tombés sur le référentiel Github ont reçu un lien d’Azure, le service de stockage cloud de Microsoft, afin de télécharger les modèles.

Un problème : le lien fourni par l’équipe IA de Microsoft donnait aux visiteurs un accès complet à l’intégralité du compte de stockage Azure. Et non seulement les visiteurs pouvaient voir tout ce qui se trouvait dans le compte, mais ils pouvaient également télécharger, écraser ou supprimer des fichiers.

Wiz indique que cela s’est produit à la suite d’une fonctionnalité Azure appelée jetons de signature d’accès partagé (SAS), qui est « une URL signée qui accorde l’accès aux données de stockage Azure ». Le jeton SAS aurait pu être configuré avec des limitations quant au(x) fichier(s) accessible(s). Cependant, ce lien particulier a été configuré avec un accès complet.

Aux problèmes potentiels s’ajoute, selon Wiz, le fait qu’il semble que ces données soient exposées depuis 2020.

Wiz a contacté Microsoft plus tôt cette année, le 22 juin, pour les avertir de leur découverte. Deux jours plus tard, Microsoft a invalidé le jeton SAS, résolvant ainsi le problème. Microsoft a mené et achevé une enquête sur les impacts potentiels en août.

Microsoft a fourni à TechCrunch une déclaration affirmant qu ‘ »aucune donnée client n’a été exposée et qu’aucun autre service interne n’a été mis en danger à cause de ce problème ».

Pierre

Pierre, plus connu sous son pseudonyme "Pierrot le Fou", est un rédacteur emblématique du site Indigo Buzz. Originaire d'une petite ville du sud-ouest du Gers, cet aventurier des temps modernes est né sous le signe de l'ombre en 1986 au sommet d'une tour esotérique. Élevé dans une famille de magiciens-discount, il a développé un goût prononcé pour l'excentricité et la magie des mots dès son plus jeune âge. Pierre a commencé sa carrière de rédacteur dans un fanzine local dédié aux films d'horreur des années 80, tout en poursuivant des études de communication à l'Université de Toulouse. Passionné par l'univers du web, il a rapidement pris conscience de l'impact du numérique et des réseaux sociaux sur notre société. C'est alors qu'il a décidé de troquer sa collection de cassettes VHS contre un ordinateur flambant neuf... enfin presque.

Cliquer pour commenter

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *