Theo Engadget, một nhóm nghiên cứu trí tuệ nhân tạo của Microsoft đã xảy ra một sự cố rò rỉ dữ liệu hài hước. Họ đã tải dữ liệu đào tạo lên GitHub để chia sẻ mã nguồn mở và mô hình AI nhận dạng hình ảnh với các nhà nghiên cứu khác, nhưng không may đã vô tình làm lộ 38TB dữ liệu cá nhân của công ty.
The incident was discovered by cybersecurity firm Wiz, who found a link in the files containing the computer backups of Microsoft employees. Wiz said that these backups contained passwords for Microsoft services, secret keys, and over 30,000 internal Teams messages from hundreds of employees of the tech giant. Sự cố đã được công ty an ninh mạng Wiz phát hiện, khi tìm thấy một đường link trong các tệp chứa bản sao lưu máy tính của nhân viên Microsoft. Wiz cho biết rằng những bản sao lưu này chứa mật khẩu cho các dịch vụ của Microsoft, khóa bí mật và hơn 30.000 tin nhắn Teams nội bộ từ hàng trăm nhân viên của công ty công nghệ này.
Để giải thích nguyên nhân gây ra sự cố rò rỉ dữ liệu, các nhà nghiên cứu của Microsoft đã áp dụng tính năng Azure gọi là “SAS Tokens”. Tính năng này cho phép người dùng tạo các đường link để chia sẻ quyền truy cập vào dữ liệu trong tài khoản Azure Storage của họ cho người khác. Người dùng có thể lựa chọn thông tin mà họ muốn chia sẻ thông qua liên kết SAS, bao gồm cả một tệp duy nhất hoặc toàn bộ kho dữ liệu. Trong trường hợp của Microsoft, các nhà nghiên cứu đã chia sẻ một liên kết có quyền truy cập vào toàn bộ tài khoản lưu trữ.
Ngày 22/6, Wiz đã phát hiện và thông báo vấn đề bảo mật đến Microsoft. Trước ngày 23/6, công ty đã rút lại token SAS và tiến hành quét lại tất cả các kho lưu trữ công khai. Microsoft cũng đã đưa ra lời đảm bảo rằng không có dữ liệu khách hàng nào bị rò rỉ và không có dịch vụ nội bộ nào gặp rủi ro trong báo cáo riêng của mình.
Từ đó, công ty đã giải quyết vấn đề để hệ thống có thể phát hiện các token SAS dễ bị đoán trước. Dù đường link mà Wiz đã phát hiện đã được chỉnh sửa, các token SAS được thiết lập không chính xác có thể gây ra rò rỉ dữ liệu và các vấn đề nghiêm trọng về quyền riêng tư.
