La división IA de Microsoft expuso por error 38TB de información sensible de sus empleados

Un repositorio compartido de forma pública en GitHub, para facilitar herramientas y modelos de IA con los que trabajar en el reconocimiento de imagen, incluía una 'url' que daba acceso a una cuenta de almacenamiento interno.

La 'url' tenía un token de firma de acceso compartido (SAS) que lejos de restringir el paso a los recursos de almacenamiento, permitía ver la información almacenada en Azure, como descubrieron los investigadores de Wiz.

De esta forma, quedaron expuestos 38TB de información sensible de empleados de Microsoft, como copias de seguridad de los perfiles de las estaciones de trabajo y mensajes internos de Microsoft Teams, como señalan en TechCrunch.

Más aún, los investigadores de Wiz apuntan que la url llevaba desde 2020 exponiendo la información, y que estaba configurada para otorgar el control completo, pudiendo cualquiera realizar modificaciones o inyectar contenido malicioso.

Microsoft ha confirmado este incidente de seguridad en una publicación compartida en el blog del Centro de Respuesta de Seguridad (MSRC, por sus siglas en inglés), donde niega que se vieran afectados datos de clientes.

Wiz notificó la exposición de datos a Microsoft el 22 de junio. Los equipos de MSRC, entonces, revocaron el token SAS e impidieron el acceso externo al almacenamiento. Microsoft especifica que mitigaron el problema el día 24 de junio e iniciaron una investigación con la que concluyen que este incidente no plantea riesgos para los clientes.