Обозреватель “Ъ FM” Александр Леви рассказывает о том, кто и как обнаружил уязвимость, из-за которой в открытом доступе оказались 38 Тб данных корпорации.
Фото: Gonzalo Fuentes / Reuters
Фото: Gonzalo Fuentes / Reuters
Исследователи искусственного интеллекта Microsoft случайно открыли доступ к данным корпорации в размере 38 Тб. В этом объеме конфиденциальной информации были пароли к сервисам, секретные ключи, свыше 30 тыс. внутренних сообщений Microsoft Teams от сотен сотрудников компании, личные сведения и резервные копии персональных компьютеров работников редмондовской команды.
Уязвимость нашел стартап Wiz, который специализируется на обеспечении безопасности облачных вычислений. В процессе своих изысканий по проблемам случайного раскрытия данных стартап вышел на репозиторий с открытым кодом в GitHub, принадлежащий одному из подразделений Microsoft.
В этом хранилище были модели искусственного интеллекта для распознавания изображений, доступ к которым открывался по ссылке. И как раз в настройках URL-адреса и содержалась уязвимость.
Сотрудники Microsoft предоставили права не только на чтение и скачивание конкретных файлов, а на всю учетную запись репозитория, что привело к раскрытию дополнительной информации.
Ошибка по невнимательности, которая предоставляла права полного контроля, существовала в Cети с 2020 года, сообщили TechCrunch авторы находки. По их мнению, любой, кто знал, где искать, по своему желанию мог потенциально удалять, заменять и внедрять вредоносное содержимое.
Представители центра реагирования на угрозы безопасности Microsoft заверили, что никакие данные клиентов не были раскрыты и никакие другие внутренние службы не подвергались риску из-за этой проблемы.
Добавлю: человеческий фактор в вопросах безопасности стремятся исключить также с помощью искусственного интеллекта. Согласно докладу профильного ресурса GitNux, к 2025 году глобальный рынок ИИ в сфере кибербезопасности превысит $38 млрд. А к концу этого года половина организаций будут активно использовать упомянутые инструменты.