Des chercheurs de Microsoft AI ont accidentellement exposé 38 To de données sensibles, comprenant des milliers de messages internes. Une erreur qui était pourtant totalement évitable.
Un incident majeur de sécurité a secoué la communauté de la recherche en intelligence artificielle. Des spécialistes en cybersécurité de Wiz Research révèlent que des chercheurs de Microsoft AI ont accidentellement exposé pas moins de 38 To de donnée critiques, dans lesquels on retrouve 30 000 messages internes de Microsoft Teams. L’erreur provient du partage, pas très subtil, d’un ensemble de données d’entraînement en open source sur la plateforme GitHub.
L’équipe de recherche en intelligence artificielle de Microsoft a, via ce partage, exposé la gigantesque masse de données internes, en ayant mal configuré un jeton SAS (une fonctionnalité de Microsoft Azure), qui a exposé bien plus d’informations que prévu. Les données sensibles comprenaient des mots de passe, des clés privées et même des sauvegardes d’ordinateurs personnels des employés de l’entreprise.
Les chercheurs avaient utilisé des jetons SAS pour partager les données, mais au lieu de limiter l’accès à des fichiers bien spécifiques comme on peut le faire sur Teams ou Office, le lien a été configuré pour partager l’intégralité du compte de stockage, exposant ces dizaines de téraoctets de fichiers privés.
Et il y a pire : le jeton avait été configuré de façon à offrir une autorisation totale, ce qui donne la possibilité aux attaquants de supprimer ou d’écraser des fichiers. Ce n’est en tout cas pas la première fois que des données issues de Microsoft ont fuité après avoir été publiées sur GitHub.
L’incident souligne les défis croissants en matière de sécurité auxquels sont confrontées les organisations travaillant avec de vastes quantités de données de formation en intelligence artificielle. Les data scientists et les ingénieurs doivent mettre en place des contrôles et des protections de sécurité robustes pour faire face à ces risques.
Partager ses recherches avec la communauté peut être une bonne chose, quand les mesures adéquates sont prises. Pour éviter de tels incidents, il est ainsi recommandé de strictement limiter l’utilisation de jetons SAS, d’opter pour des stratégies d’accès stockées pour le partage externe, et de créer des comptes de stockage dédiés. La surveillance de l’utilisation des jetons SAS demeure, qui plus est, essentielle pour détecter tout accès non autorisé.
Source : Wiz Research