ام فريق بحث Microsoft AI بتحميل بيانات التدريب على منصة GitHub في محاولة لتزويد الباحثين الآخرين بنماذج مفتوحة المصدر ونماذج
الذكاء الاصطناعي للتعرف على الصور. ومع ذلك، أدى خطأ في تكوين الروابط إلى تسريب 38 تيرابايت من البيانات، بما في ذلك:
- كلمات مرور لخدمات Microsoft
- مفاتيح سرية
- أكثر من 30 ألف رسالة داخلية من Teams
اكتشفت شركة Wiz للأمن السيبراني الرابط المؤدي إلى البيانات المسربة في يونيو 2023، وأبلغت Microsoft عن المشكلة. ألغت Microsoft الرابط في غضون يومين، لكنها اعترفت بأنه كان هناك مخاطر محتملة لتسريب البيانات.
تتمثل المشكلة في أن باحثي Microsoft استخدموا ميزة Azure تسمى “رموز SAS” لمشاركة البيانات. تتيح رموز SAS للمستخدمين إنشاء روابط قابلة للمشاركة تتيح لأشخاص آخرين الوصول إلى البيانات الموجودة في حساب Azure Storage الخاص بهم.
في حالة Microsoft، تم تكوين رمز SAS بشكل غير صحيح بحيث يمكن لأي شخص الوصول إلى حساب التخزين بالكامل. هذا يعني أن أي شخص لديه الرابط يمكنه رؤية جميع البيانات الموجودة في الحساب، بما في ذلك المعلومات الحساسة.
تعترف Microsoft بأنها تعلمت من هذا الحادث وقامت بإصلاح المشكلة. كما نشرت الشركة قائمة بأفضل الممارسات لاستخدام رموز SAS، والتي من المفترض أن تتبعها الشركات الأخرى.
المخاطر المحتملة للتسرب
يمكن أن يؤدي تسريب البيانات إلى عدد من المخاطر المحتملة، بما في ذلك:
- سرقة الهوية
- الاحتيال المالي
- التجسس الصناعي
- الضرر بسمعة الشركة
في حالة Microsoft، من المحتمل أن يكون التسريب قد عرض موظفي الشركة للخطر، حيث يمكن استخدام بياناتهم الشخصية وسرية الشركة لأغراض ضارة.