Même les boffins les plus intelligents peuvent parfois trébucher, et c’est exactement ce qui s’est produit après qu’un membre de l’équipe de recherche en IA de Microsoft a accidentellement exposé 38 To de données internes sensibles après avoir mal configuré un lien.
Wiz, une société de sécurité cloud qui recherche régulièrement des vulnérabilités ou des expositions de données hébergées dans le cloud, a détaillé l’exposition sur son blog (via ITWire). Il a trouvé un référentiel GitHub appartenant à la division de recherche en IA de Microsoft, hébergeant du code open source et des modèles d’IA pour la reconnaissance d’images. Mais ce n’est pas tout ce que Wiz a trouvé.
Une erreur de configuration permettait à quiconque d’accéder à l’intégralité du compte de stockage, et ces données comprenaient deux sauvegardes complètes du PC appartenant aux employés de Microsoft. Selon Wiz, les données comprenaient « des données personnelles sensibles, notamment des mots de passe d’accès aux services Microsoft, des clés secrètes et plus de 30 000 messages internes Microsoft Teams provenant de 359 employés de Microsoft ».
De plus, les fichiers n’étaient pas en lecture seule. Ils pourraient être réécrits ou supprimés à volonté. Par souci d’équité envers Microsoft et les employés, l’accès aux fichiers n’était pas entièrement public. L’accès a été accordé via une fonctionnalité de partage Azure appelée jeton SAS, qui est un lien partageable, mais dans ce cas, il a accordé un accès complet. Toute personne disposant de ce lien, qui inclurait les utilisateurs cherchant à accéder au code source de l’IA, y aurait eu accès.
Ce qui est pire, c’est que les données ont été exposées depuis 2020. Microsoft a été informé de cette exposition en juin de cette année, ce qui signifie que les données sont restées disponibles pendant trois ans.
Microsoft a publié une longue déclaration sur son propre blog, déclarant « Aucune donnée client n’a été exposée et aucun autre service interne n’a été mis en danger à cause de ce problème. Aucune action du client n’est requise en réponse à ce problème ».
Cela semble juste, mais en interne, il y aura sûrement quelques visages rouges et du personnel informatique essoufflé qui courront de cette façon et cela pour changer les mots de passe et les clés qui ont été exposés. Au cas où.
Enfants, adultes, joueurs et experts, il est important de configurer correctement vos comptes de stockage. On ne sait jamais qui pourrait venir renifler.