Lacroix
A accidentellement exposé un grand cache de données privées sur la plateforme de développement logiciel GitHub, selon une nouvelle étude d’une société de cybersécurité.
Une équipe de la société de sécurité cloud Wiz a découvert l’exposition des données hébergées dans le cloud sur la plateforme de formation IA via un lien mal configuré. Les données ont été divulguées par l’équipe de recherche de Microsoft lors de la publication de données de formation open source sur GitHub, selon Wiz.
Les utilisateurs du référentiel ont été invités à télécharger des modèles d’IA à partir d’une URL de stockage cloud. Mais il a été mal configuré pour accorder des autorisations sur l’ensemble du compte de stockage, et il a également accordé aux utilisateurs des autorisations de contrôle total, par opposition à la lecture seule, ce qui signifie qu’ils pouvaient supprimer et écraser les fichiers existants, selon un article du blog Wiz. Les données exposées comprenaient des sauvegardes des ordinateurs personnels des employés de Microsoft, qui contenaient des mots de passe pour les services Microsoft, des clés secrètes et plus de 30 000 messages internes Microsoft Teams provenant de 359 employés de Microsoft, selon Wiz.
Le partage de données ouvertes est un élément clé de la formation en IA, mais le partage de plus grandes quantités de données expose les entreprises à des risques plus importants en cas de partage incorrect, selon les chercheurs de Wiz. Wiz a partagé les données en juin avec Microsoft, qui a rapidement supprimé les données exposées, a déclaré Ami Luttwak, directeur de la technologie et co-fondateur de Wiz, qui a ajouté que l’incident “aurait pu être pire”.
Invité à commenter, un porte-parole de Microsoft a déclaré : « Nous avons confirmé qu’aucune donnée client n’a été exposée et qu’aucun autre service interne n’a été mis en danger. »
Dans un article de blog publié lundi, Microsoft a déclaré avoir enquêté et résolu un incident impliquant un employé de Microsoft qui partageait une URL dans un référentiel public GitHub vers des modèles d’apprentissage d’IA open source. Microsoft a déclaré que les données exposées dans le compte de stockage comprenaient des sauvegardes des profils de poste de travail de deux anciens employés et des messages internes Microsoft Teams de ces deux employés avec leurs collègues.
L’histoire continue
Le cache de données a été découvert par l’équipe de recherche de Wiz en analysant Internet à la recherche de conteneurs de stockage mal configurés, dans le cadre de ses travaux en cours sur l’exposition accidentelle des données hébergées dans le cloud, selon le blog.
