Microsoft KI-Team gibt versehentlich 38 TB privater Unternehmensdaten preis
Die KI-Entwickler von Microsoft ist ein folgenschwerer Fehler unterlaufen.
Einem neuen Bericht des Cloud-Sicherheitsunternehmens Wiz zufolge hat das KI-Entwicklerteam von Microsoft versehentlich 38 TB privater Daten des Unternehmens weitergegeben.
Zu den veröffentlichten Daten gehörten vollständige Backups der Computer von zwei Mitarbeitern. Diese Backups enthielten sensible persönliche Daten, darunter Passwörter für Microsoft-Dienste, geheime Schlüssel und mehr als 30.000 interne Microsoft Teams-Nachrichten von mehr als 350 Microsoft-Mitarbeitern.
Wie konnte das passieren? Der Bericht erklärt, dass das KI-Team von Microsoft Trainingsdaten hochgeladen hat, der Open-Source-Code und KI-Modelle für die Bilderkennung enthält. Nutzer, die auf das Github-Repository stießen, erhielten einen Link von Azure, dem Cloud-Speicherdienst von Microsoft, um die Modelle herunterzuladen.
Ein Problem: Der Link, den das KI-Team von Microsoft zur Verfügung stellte, gab den Besuchern vollständigen Zugriff auf das gesamte Azure-Speicher-Konto. Und die Besucher konnten nicht nur alles auf dem Konto einsehen, sondern auch Dateien hochladen, überschreiben oder löschen.
Laut Wiz war dies das Ergebnis einer Azure-Funktion namens SAS-Token (Shared Access Signature), bei der es sich um eine signierte URL handelt, die Zugriff auf Azure-Storage-Daten gewährt. Das SAS-Token könnte mit Einschränkungen für den Zugriff auf die Datei oder die Dateien eingerichtet worden sein. Dieser spezielle Link wurde jedoch mit vollem Zugriff konfiguriert.
Zu den potenziellen Problemen kommt laut Wiz noch hinzu, dass diese Daten offenbar schon seit 2020 offengelegt wurden.
Wiz kontaktierte Microsoft Anfang dieses Jahres, am 22. Juni, um sie über ihre Entdeckung zu informieren. Zwei Tage später machte Microsoft das SAS-Token ungültig und schloss damit das Problem. Microsoft hat im August eine Untersuchung der möglichen Auswirkungen durchgeführt und diese abgeschlossen.
In einer Erklärung gegenüber TechCrunch erklärte Microsoft, dass "keine Kundendaten offengelegt wurden und keine anderen internen Dienste aufgrund dieses Problems gefährdet waren."