Nieuws

AI-onderzoekers van Microsoft deelden per ongeluk 38 TB aan data

Microsoft
© iStock / Yuriy Komarov
AI-onderzoekers bij Microsoft deelden, zonder dat ze het zelf wisten, de toegangssleutel voor hun volledige Azure-account.

Vandaag de dag zijn AI-systemen zoals ChatGPT, Bing Chat en Bard ongekend populair. Microsoft wenst met Windows steeds verder in te zetten op AI en lanceert een ‘Windows Copilot’, een AI-systeem dat volledig in het besturingssysteem geïntegreerd zit. Dat AI-systeem moet natuurlijk getraind worden door Microsoft. Hoe dat precies gebeurt, weten ze alleen binnen het bedrijf. 38 Terrabytes aan data, die beschikbaar was op GitHub, biedt alvast een kijkje in de interne werking.

Volledig Azure-account

Dat is natuurlijk niet de bedoeling: zulke data wordt doorgaans goed bewaard en te allen koste geheim gehouden. Bij het opladen van trainingsdata waar open-sourcecode bij gebundeld zat, werd een foutje gemaakt. Wie via de GitHub-repository toegang vroeg tot Azure, waar de trainingsdata gedownload kan worden, kreeg een verkeerde link toegespeeld: in plaats van toegang tot bepaalde bestanden, verschafte de link meteen toegang tot het volledige Azure-account.

Gebruikers konden daardoor niet alleen naar álle bestanden kijken, maar konden zelf ook aanpassingen doen: bestanden verwijderen, overschrijven, uploaden… Naast de trainingsbestanden kon via de link ook gevoelige persoonlijke info van Microsoft-werknemers achterhaald worden, net als de wachtwoorden voor een heleboel Microsoft-diensten. Ook waren er meer dan 30.000 verschillende Teams-berichten te lezen tussen verschillende leden van het team.

SAS-token

Onderzoekers van Wiz, die het lek ontdekten, leggen de fout bij een Azure-functie die zogenaamde “Shared Access Signature” (SAS)-tokens uitdeelt. Zo’n SAS-token is in feite een URL die aangeeft tot welke delen van de cloudopslag je toegang moet krijgen. In dit geval was die sleutel verkeerd geconfigureerd, waardoor toegang tot het hele Azure-account mogelijk was.

Om het allemaal nog wat erger te maken: volgens de onderzoekers van Wiz gaat het hier niet om een nieuw lek. De data zou al sinds 2020 beschikbaar zijn voor wie de juiste link vond.

Geen zware gevolgen

Kort na de ontdekking van het lek, in juni van dit jaar, liet Wiz aan Microsoft weten dat er iets niet helemaal snor zat met de link. Twee dagen later werkte de link niet meer: de SAS-token werd geïnvalideerd door Microsoft. Volgens Microsoft heeft het lek geen klantdata blootgelegd en liepen de interne systemen geen risico dankzij het lek.

Uitgelicht artikel Microsoft Microsoft legt uit hoe Chinese hackers veiligheidssleutel konden stelen
aiBeveiligingbusinesscyberbeveiliginglekmicrosoftwiz

Gerelateerde artikelen

Volg ons

Gebruik je ecocheques bij Coolblue

Gebruik je ecocheques bij Coolblue

Producten bekijken