Expertos en IA de Microsoft filtran por accidente contraseñas y 30.000 mensajes internos de trabajadores de la compañía
Reuters
- Microsoft ha reconocido este lunes la filtración por accidente de una gran cantidad de datos, incluyendo información personal de sus trabajadores.
- Los investigadores en inteligencia artificial de la tecnológica incluyeron un enlace en los repositorios de modelos de IA que subieron a GitHub.
- Ese enlace daba acceso a una cuenta con 38 teras almacenados en la nube.
Un equipo de desarrolladores de IA de Microsoft filtró por accidente grandes cantidades de datos cuando trataban de compartir su trabajo. La multinacional tecnológica lo ha reconocido este lunes.
Microsoft detalla que su equipo estaba intentando compartir en GitHub datos open-source con los que entrenar modelos de IA, algo habitual en el sector.
Wiz, una compañía de ciberseguridad, fue la que descubrió que los desarrolladores de Microsoft incluyeron por accidente un acceso a 38 teras de datos. El acceso se encontraba entre toda la documentación que los expertos subieron al repositorio de GitHub.
La razón: en el repositorio de GitHub, los investigadores de Microsoft indicaban a los usuarios que se podían descargar los datos con los que entrenar modelos de IA a través de un enlace. Esos datos estaban alojados en la nube, pero el enlace no estaba bien configurado. Los visitantes podían acceder no solo a esos datos, sino a todo lo que estaba almacenado en ese servicio.
De esta forma Wiz pudo comprobar que la información vulnerable era valiosa: aparecían copias de seguridad personales de trabajadores de Microsoft, contraseñas a algunos servicios de la tecnológica, claves secretas y cerca de 30.000 mensajes internos de la compañía enviados a través de Teams.
Microsoft salió al paso de la filtración este lunes mediante un artículo publicado en uno de sus blogs corporativos. "No se ha expuesto los datos de los clientes y no se ha puesto en riesgo ningún otro servicio interno. No se requieren acciones por parte de nuestros clientes para atender este problema", indicaba.
"Ahora compartimos la experiencia y lo aprendido para que nuestros clientes estén informados y puedan evitar incurrir en incidentes como este en un futuro", añadía.
Wiz ya informó de esta vulnerabilidad el pasado mes de junio. Microsoft cerró el acceso vulnerado a los 2 días. Ambas compañías han hecho público esta vulnerabilidad esta misma semana.
El hallazgo se da a conocer apenas unas semanas después de que la propia Microsoft compartiese sus hallazgos sobre ciberdelincuentes chinos. Los criminales lograron acceder a Microsoft gracias a que uno de sus sistemas cayó en 2021 y durante el proceso de restauración una captura filtró accidentalmente una clave.
Esa clave filtrada permitió a los asaltantes, bautizados como Storm-0558, simular una cuenta de ingeniero de Microsoft, lo que les dio acceso a cuentas de correo, incluyendo cuentas de agencias federales de Estados Unidos.
Otros artículos interesantes:
Conoce cómo trabajamos en Business Insider.