Un equipo de investigación de IA de Microsoft que subió datos de entrenamiento a GitHub en un esfuerzo por ofrecer a otros investigadores código fuente abierto y modelos de IA para el reconocimiento de imágenes expuso inadvertidamente 38 TB de datos personales. Wiz, una empresa de ciberseguridad, descubrió un enlace incluido en los archivos que contenían copias de seguridad de las computadoras de los empleados de Microsoft. Esas copias de seguridad contenían contraseñas de los servicios de Microsoft, claves secretas y más de 30.000 mensajes internos de Teams de cientos de empleados del gigante tecnológico, dice Wiz. Microsoft asegura en su propio informe del incidente, sin embargo, que «ningún dato del cliente quedó expuesto y ningún otro servicio interno fue puesto en riesgo».
El enlace se incluyó deliberadamente con los archivos para que los investigadores interesados pudieran descargar modelos previamente entrenados; esa parte no fue un accidente. Los investigadores de Microsoft utilizaron una característica de Azure llamada «tokens SAS», que permite a los usuarios crear enlaces para compartir que dan a otras personas acceso a los datos de su cuenta de Azure Storage. Los usuarios pueden elegir a qué información se puede acceder a través de enlaces SAS, ya sea un solo archivo, un contenedor completo o todo su almacenamiento. En el caso de Microsoft, los investigadores compartieron un enlace que tenía acceso a la cuenta de almacenamiento completa.
Wiz descubrió e informó el problema de seguridad a Microsoft el 22 de junio, y la compañía revocó el token SAS el 23 de junio. Microsoft también explicó que vuelve a escanear todos sus repositorios públicos, pero su sistema había marcado este enlace en particular como un «falso positivo». » Desde entonces, la compañía solucionó el problema para que su sistema pueda detectar tokens SAS que son también más permisivo de lo previsto en el futuro. Si bien el vínculo particular que Wiz detectó se ha solucionado, los tokens SAS configurados incorrectamente podrían provocar fugas de datos y grandes problemas de privacidad. Microsoft reconoce que «los tokens SAS deben crearse y manejarse adecuadamente» y también ha publicado una lista de mejores prácticas al usarlos, que presumiblemente (y con suerte) practica él mismo.