Olhar Digital > Pro > Pesquisa em IA da Microsoft expõe terabytes de dados internos sensíveis

Pesquisa em IA da Microsoft expõe terabytes de dados internos sensíveis

Pesquisadores de IA da Microsoft expõem acidentalmente terabytes de dados sensíveis no GitHub, incluindo senhas e chaves privadas
Ana Luiza Figueiredo18/09/2023 14h46
microsoft
Imagem: Alberto Garcia Guillen / Shutterstock.com
Compartilhe esta matéria
Ícone Whatsapp Ícone Whatsapp Ícone X (Tweeter) Ícone Facebook Ícone Linkedin Ícone Telegram Ícone Email

Siga o Olhar Digital no Google Discover

Inteligência artificial
Tudo sobre Inteligência Artificial
ver mais

Pesquisadores de inteligência artificial da Microsoft inadvertidamente expuseram dezenas de terabytes de dados sensíveis ao publicarem um repositório de armazenamento de dados de treinamento de código aberto no GitHub. Entre os dados vazados, então chaves privadas e senhas.

Ofertas
Material Dourado Com 74 Peças Pais & Filhos Dourado
Vendido por Amazon
Material Dourado Com 74 Peças Pais & Filhos Dourado
De: R$ 11,85
Por: R$ 8,28
Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V
Vendido por Amazon
Ar-Condicionado Split HW Elgin Eco Inverter II Wi-Fi 12.000 BTUs R-32 Quente/Frio 220V
De: R$ 2.499,00
Por: R$ 1.998,89
Freezer Vertical Consul 231 Litros - CVU26FB 110V
Vendido por Amazon
Freezer Vertical Consul 231 Litros - CVU26FB 110V
De: R$ 3.279,35
Por: R$ 2.498,89
WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V
Vendido por Amazon
WAP Ventilador de Torre AIR SILENCE com 4 Ní­veis de Velocidade, Time de até 15 Horas e Desligamento Automático 127V
De: R$ 599,90
Por: R$ 404,90
MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W
Vendido por Amazon
MONDIAL Ventilador de Mesa 40cm Super Power, Branco/Azul, 140W, 110V - VSP-40-W
De: R$ 189,90
Por: R$ 129,90
Climatizador de Ar Digital Midea 127V 60Hz
Vendido por Amazon
Climatizador de Ar Digital Midea 127V 60Hz
De: R$ 529,99
Por: R$ 412,69
Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm
Vendido por Amazon
Monitor Gamer IPS 24 Polegadas, Full HD, 180Hz, 1ms, HDR400, G-SYNC, 250cd/m², Alto-falantes embutidos, Entradas HDMI/DisplayPort/USB/3.5mm
De: R$ 799,00
Por: R$ 593,00
Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm
Vendido por Amazon
Câmera Digital EOS, Canon, Preto, 23 x 14 x 17 cm
De: R$ 3.799,00
Por: R$ 3.598,94
Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica
Vendido por Amazon
Câmera digital, vídeo de 5k, câmera de 75 megapixels, transmissão Wi-Fi, foco automático, zoom digital de 18x, tela giratória de 180 graus, cartão SD de 32G,câmera compacta,vlog,fotográfica
De: R$ 699,00
Por: R$ 499,00
PlayStation DualSense Controle sem fio – Branco
Vendido por Amazon
PlayStation DualSense Controle sem fio – Branco
De: R$ 499,90
Por: R$ 369,00
Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt
Vendido por Amazon
Robô Aspirador Liectroux XR500 Pro 3 em 1 Aspira Varre Passa Pano Com Aplicativo Compatível Com Alexa e Google Mapeamento Inteligente Salva os Mapas Bivolt
De: R$ 2.489,00
Por: R$ 1.616,02
MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P
Vendido por Amazon
MONDIAL Ventilador de Parede 40cm Super Turbo 8 Pás, Preto/Prata, 140W, 110V - VTX-40P-8P
De: R$ 259,90
Por: R$ 179,90
Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W
Vendido por Amazon
Notebook ASUS Vivobook 15 X1504VA Intel Core i5 1334U 8GB Ram 512GB SSD Windows 11 Tela 15,6" FHD Silver - NJ1740W
De: R$ 3.599,00
Por: R$ 2.759,00
Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v
Vendido por Amazon
Fritadeira Sem Óleo Air Fryer Eos Chef Gourmet 6.2 Litros Compacta Digital Vermelho Eaf60v 110v
De: R$ 299,90
Por: R$ 199,00
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
Vendido por Amazon
soundcore P20i da Anker Fone de Ouvido Sem Fio, Drivers de 10mm, Graves Potentes, Bluetooth 5.3, 30H de Bateria, Resistência à Água, 2 Microfones IA, App Personalizável
De: R$ 249,00
Por: R$ 166,19
Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)
Vendido por Amazon
Philips Walita Preta Fritadeira Airfryer Essential XL Digital, 6.2L de capacidade, Garantia internacional de dois anos, 110V, 2000W (RI9270/90)
De: R$ 899,90
Por: R$ 399,00
WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt
Vendido por Amazon
WAP Umidificador de Ar AIR FLOW com Luminária e Difusor de Aromas, 4 Litros, Autonomia de até 12 horas, 20W Bivolt
De: R$ 229,90
Por: R$ 132,00
CAMERA INSTAX MINI 12 ROSA GLOSS
Vendido por Amazon
CAMERA INSTAX MINI 12 ROSA GLOSS
De: R$ 649,00
Por: R$ 505,00

A startup de segurança na nuvem, Wiz, compartilhou suas descobertas com o TechCrunch, revelando a existência de um repositório no GitHub pertencente à divisão de pesquisa em IA da Microsoft. Essa descoberta foi feita no contexto de investigações em andamento sobre a exposição acidental de dados hospedados na nuvem.

Leia mais:

O que aconteceu?

  • Os usuários do GitHub que acessaram o repositório encontraram código de código aberto e modelos de IA para reconhecimento de imagem e foram instruídos a fazer o download dos modelos a partir de uma URL de Armazenamento Azure.
  • No entanto, a Wiz descobriu que essa URL estava configurada para conceder permissões a toda a conta de armazenamento, expondo acidentalmente dados privados adicionais.
  • Esses dados incluíam 38 terabytes de informações sensíveis, como backups pessoais de dois computadores pessoais de funcionários da Microsoft.
  • Além disso, os dados continham outras informações pessoais confidenciais, como senhas para os serviços da Microsoft, chaves secretas e mais de 30.000 mensagens internas do Microsoft Teams de centenas de funcionários da empresa.
  • De acordo com a Wiz, a URL que expôs esses dados estava desprotegida desde 2020 e também estava configurada incorretamente, permitindo “controle total” em vez de permissões “somente leitura”.
  • Isso significava que qualquer pessoa que soubesse onde procurar poderia potencialmente excluir, substituir e inserir conteúdo malicioso.
  • A Wiz observou que a conta de armazenamento não estava diretamente exposta. Em vez disso, os desenvolvedores de IA da Microsoft incluíram um token de assinatura de acesso compartilhado (SAS) excessivamente permissivo na URL.
  • Os tokens SAS são um mecanismo usado pelo Azure que permite aos usuários criar links compartilháveis que concedem acesso aos dados de uma conta de armazenamento do Azure.

A IA desbloqueia um enorme potencial para empresas de tecnologia. No entanto, à medida que cientistas de dados e engenheiros correm para desenvolver novas soluções de IA, as enormes quantidades de dados que eles manipulam exigem verificações de segurança e salvaguardas adicionais. Com muitas equipes de desenvolvimento precisando manipular grandes volumes de dados, compartilhá-los com seus pares ou colaborar em projetos de código aberto públicos, casos como o da Microsoft estão se tornando cada vez mais difíceis de monitorar e evitar.

Ami Luttwak, cofundador e CTO da Wiz

Microsoft foi informada

A Wiz informou a Microsoft sobre suas descobertas em 22 de junho, e a Microsoft revogou o token SAS dois dias depois, em 24 de junho. A Microsoft afirmou que concluiu sua investigação sobre o impacto organizacional em potencial em 16 de agosto.

Em um post no blog compartilhado, que o TechCrunch disse ter tido acesso antes da publicação, o Centro de Resposta à Segurança da Microsoft afirmou que “nenhum dado do cliente foi exposto, e nenhum outro serviço interno foi colocado em risco devido a esse problema.”

A Microsoft também anunciou que, como resultado da pesquisa da Wiz, expandiu o serviço do GitHub para monitorar todas as alterações de código aberto público em busca de exposição em texto simples de credenciais e outros segredos. Isso inclui quaisquer tokens SAS que possam ter expirações ou privilégios excessivamente permissivos.

Já assistiu aos novos vídeos no YouTube do Olhar Digital? Inscreva-se no canal!

Ana Luiza Figueiredo
Redator(a)
Ana Luiza Figueiredo no LinkedIn

Ana Luiza Figueiredo é repórter do Olhar Digital. Formada em Jornalismo pela Universidade Federal de Uberlândia (UFU), foi Roteirista na Blues Content, criando conteúdos para TV e internet.

Ícone tagsTags: