Um erro cometido pela divisão de Inteligência Artificial (IA) da Microsoft resultou no vazamento de informações confidenciais valiosas de funcionários da empresa. O pacote de dados que continha 38 terabytes de informações internos, incluindo chaves privadas e senhas.
A ideia original era publicar um repositório de modelos de IA na plataforma GitHub, segundo o TechCrunch. O material estaria disponível publicamente para desenvolvedores acessarem ferramentas de reconhecimento de imagem.
Leia mais: Bitcoin e mais 3 criptomoedas que podem atingir novos recordes em maio
Quais dados foram expostos pelo erro da divisão de IA da Microsoft?
As pastas compartilhadas incluíram, acidentalmente, um link que permitia inserir uma conta privada no serviço de nuvem Azure.
Entre a grande quantidade de informações confidenciais expostas estavam backups de perfis de trabalho de funcionários, senhas de serviços e mais de 30.000 mensagens internas enviadas por meio do app Teams.
Esta interface é normalmente usada para transmitir observações detalhadas sobre o trabalho que está sendo realizado. Em outras palavras, mensagens que apenas os funcionários da empresa deveriam conhecer.
Especialistas da empresa de segurança Wiz teriam notificado a Microsoft sobre a situação no dia 22 de junho. Eles indicaram que a URL expunha dados desde 2020, o que era um prato cheio para golpistas
As equipes da empresa revogaram o acesso externo dois dias depois. Em seguida, uma investigação, relatada pelo Centro de Resposta de Segurança da gigante de informática, concluiu que a violação não afetou os clientes.
“Nenhum dado de não funcionário foi exposto e nenhum outro serviço interno foi colocado em risco devido a este problema”.
Gigante reforçou segurança
Em seguida à investigação de Wiz, a Microsoft expandiu o serviço de extensão secreta do GitHub. Esta é a funcionalidade que monitora todas as alterações públicas no código-fonte aberto.
Com esta medida, a empresa quer detectar a exposição de credenciais e informações confidenciais em texto simples para incluir quaisquer tokens SAS que possam ter expirações ou privilégios excessivamente permissivos.
O cofundador e CTO da Wiz, Ami Luttwak, por outro lado, disse ao TechCrunch que várias etapas de segurança são necessárias para evitar esse tipo de circunstância.
“A IA abre um enorme potencial para empresas de tecnologia. No entanto, à medida que os cientistas e engenheiros de dados correm para trazer novas soluções de IA para a produção, as enormes quantidades de dados que gerem exigem controlos adicionais e salvaguardas de segurança”.
Luttwak detalhou que é difícil monitorar esses tipos de processos que buscam compartilhar o andamento de um projeto de trabalho.
“Como muitas equipes de desenvolvimento precisam manipular grandes quantidades de dados, compartilhá-los com colegas ou colaborar em projetos públicos de código aberto, casos como o da Microsoft são cada vez mais difíceis de monitorar e prevenir”.
Microsoft sob ataque
A divulgação do caso ocorreu poucas semanas após a divulgação de uma investigação sobre a atuação de cibercriminosos na China, que levou a outro incidente de segurança relevante.
Nesse caso, um bug ocorrido em 2021 permitiu que um hacker comprometesse a conta de um engenheiro da Microsoft. EM suma, o atacante recebeu acesso a contas de e-mail, inclusive de agências governamentais dos Estados Unidos.
- Não entendeu algum termo do universo Web3? Confira no nosso Glossário!
- Quer se manter atualizado em tudo o que é relevante no mundo cripto? O BeInCrypto tem uma comunidade no Telegram em que você pode ler em primeira mão as notícias relevantes e conversar com outros entusiastas em criptomoedas. Confira!
- Você também pode se juntar a nossas comunidades no Twitter (X), Instagram e Facebook.
Trusted
Isenção de responsabilidade
Todas as informações contidas em nosso site são publicadas de boa fé e apenas para fins de informação geral. Qualquer ação que o leitor tome com base nas informações contidas em nosso site é por sua própria conta e risco.
