Guillaume Rolland
Microsoft a confirmé lundi que de grandes quantités de données avaient été divulguées par erreur. Les chercheurs ont fourni un lien vers des modèles d’IA by way of GitHub. Mais cela a accidentellement donné un accès complet à un compte de stockage cloud de 38 To.
Une équipe de chercheurs en IA de Microsoft a divulgué par erreur de grandes quantités de données alors qu’ils tentaient de partager leurs travaux, a confirmé la société lundi.
Microsoft a déclaré que l’équipe essayait de partager des données de formation open resource sur la plate-forme de développement logiciel GitHub, comme c’est le cas dans le secteur de l’IA.
Cependant, la société de cybersécurité Wiz a découvert que les chercheurs avaient accidentellement donné accès à 38 téraoctets de données.
En effet, le référentiel GitHub des chercheurs de Microsoft a demandé aux utilisateurs de télécharger des modèles d’IA à partir d’une URL de stockage cloud. Mais le lien avait été mal configuré dans la mesure où il accordait des autorisations sur l’ensemble du compte de stockage, selon Wiz.
Wiz a découvert que le compte comprenait les sauvegardes des ordinateurs personnels des employés de Microsoft, les mots de passe des providers Microsoft, les clés secrètes et additionally de 30 000 messages internes des équipes.
“Aucune donnée customer n’a été exposée et aucun autre support interne n’a été mis en danger à induce de ce problème. Aucune motion du shopper n’est requise en réponse à ce problème”, a déclaré Microsoft dans un write-up de site publié lundi.
“Nous partageons ci-dessous les enseignements et les meilleures pratiques pour informer nos purchasers et les aider à éviter des incidents similaires à l’avenir”, ajoute-t-il.
Wiz a signalé le problème à Microsoft en juin, ce qui a invalidé le lien deux jours plus tard. Les deux sociétés ont révélé la débâcle lundi.
C’est moins de deux semaines après que Microsoft a publié les conclusions d’une enquête sur les pirates informatiques basés en Chine. Il a constaté que lorsqu’un système tombait en panne en 2021, un instantané du processus révélait accidentellement une clé de signature.
Et cela a permis à l’acteur malveillant, connu sous le nom de Storm-0558, de compromettre le compte d’un ingénieur Microsoft, donnant accès aux comptes de messagerie, y compris ceux des agences gouvernementales américaines.
