Microsoft KI Forscher haben versehentlich Dutzende Terabyte (TB) an sensiblen Daten offengelegt, aber das Unternehmen hat nun den Fehler behoben, der zu dem Vorfall geführt hat, gab das Unternehmen bekannt. Zu den offengelegten privaten Daten gehören private Schlüssel und Passwörter, und dies geschah, während das Unternehmen einen Speicherbereich mit Open-Source-Schulungsdaten veröffentlichte GitHub.
Das GitHub-Repository, das zur KI-Forschungsabteilung von Microsoft gehörte, wurde vom Cloud-Sicherheits-Startup Wiz entdeckt und teilte seine Ergebnisse am 22. Juni mit Microsoft. Microsoft hat das Problem am 24. Juni behoben.
Welche Daten wurden offengelegt?
Zu den offengelegten Daten gehörten 38 TB sensibler Informationen, darunter die persönlichen Backups der PCs von zwei Microsoft-Mitarbeitern. Die Daten enthielten auch andere sensible persönliche Daten, darunter Passwörter für Microsoft-Dienste, geheime Schlüssel und über 30.000 interne Microsoft-Teams Nachrichten von Hunderten von Microsoft-Mitarbeitern.
Die URL, die diese Daten seit 2020 offengelegt hatte, sei ebenfalls falsch konfiguriert, um „vollständige Kontrolle“ anstelle von „schreibgeschützten“ Berechtigungen zu ermöglichen, sagte Wiz. Das bedeutet, dass Microsoft versehentlich die Erlaubnis erteilt hat, Inhalte zu löschen, zu ersetzen und möglicherweise sogar schädliche Inhalte einzuschleusen.
„KI eröffnet Technologieunternehmen ein enormes Potenzial“, wurde Wiz-Mitbegründer und CTO Ami Luttwak von Tech zitiert.
„Während Datenwissenschaftler und Ingenieure jedoch darum kämpfen, neue KI-Lösungen in die Produktion zu bringen, erfordern die riesigen Datenmengen, die sie verarbeiten, zusätzliche Sicherheitsprüfungen und Schutzmaßnahmen. Da viele Entwicklungsteams riesige Datenmengen manipulieren, diese mit Kollegen teilen oder an öffentlichen Open-Source-Projekten zusammenarbeiten müssen, werden Fälle wie der von Microsoft immer schwieriger zu überwachen und zu vermeiden“, fügte Luttwak hinzu.
Hier ist, was Microsoft zu sagen hat
In einem Blogbeitrag erklärte das Security Response Center von Microsoft, dass „keine Kundendaten offengelegt wurden“.
„Bei den offengelegten Informationen handelte es sich um Informationen, die eindeutig für zwei ehemalige Microsoft-Mitarbeiter und die Workstations dieser ehemaligen Mitarbeiter galten. Durch dieses Problem wurden keine Kundendaten offengelegt und keine anderen Microsoft-Dienste gefährdet“, sagte das Unternehmen.
Es fügte hinzu, dass Kunden keine zusätzlichen Maßnahmen ergreifen müssen, um sicher zu bleiben.
Das GitHub-Repository, das zur KI-Forschungsabteilung von Microsoft gehörte, wurde vom Cloud-Sicherheits-Startup Wiz entdeckt und teilte seine Ergebnisse am 22. Juni mit Microsoft. Microsoft hat das Problem am 24. Juni behoben.
Welche Daten wurden offengelegt?
Zu den offengelegten Daten gehörten 38 TB sensibler Informationen, darunter die persönlichen Backups der PCs von zwei Microsoft-Mitarbeitern. Die Daten enthielten auch andere sensible persönliche Daten, darunter Passwörter für Microsoft-Dienste, geheime Schlüssel und über 30.000 interne Microsoft-Teams Nachrichten von Hunderten von Microsoft-Mitarbeitern.
Die URL, die diese Daten seit 2020 offengelegt hatte, sei ebenfalls falsch konfiguriert, um „vollständige Kontrolle“ anstelle von „schreibgeschützten“ Berechtigungen zu ermöglichen, sagte Wiz. Das bedeutet, dass Microsoft versehentlich die Erlaubnis erteilt hat, Inhalte zu löschen, zu ersetzen und möglicherweise sogar schädliche Inhalte einzuschleusen.
„KI eröffnet Technologieunternehmen ein enormes Potenzial“, wurde Wiz-Mitbegründer und CTO Ami Luttwak von Tech zitiert.
„Während Datenwissenschaftler und Ingenieure jedoch darum kämpfen, neue KI-Lösungen in die Produktion zu bringen, erfordern die riesigen Datenmengen, die sie verarbeiten, zusätzliche Sicherheitsprüfungen und Schutzmaßnahmen. Da viele Entwicklungsteams riesige Datenmengen manipulieren, diese mit Kollegen teilen oder an öffentlichen Open-Source-Projekten zusammenarbeiten müssen, werden Fälle wie der von Microsoft immer schwieriger zu überwachen und zu vermeiden“, fügte Luttwak hinzu.
Hier ist, was Microsoft zu sagen hat
In einem Blogbeitrag erklärte das Security Response Center von Microsoft, dass „keine Kundendaten offengelegt wurden“.
„Bei den offengelegten Informationen handelte es sich um Informationen, die eindeutig für zwei ehemalige Microsoft-Mitarbeiter und die Workstations dieser ehemaligen Mitarbeiter galten. Durch dieses Problem wurden keine Kundendaten offengelegt und keine anderen Microsoft-Dienste gefährdet“, sagte das Unternehmen.
Es fügte hinzu, dass Kunden keine zusätzlichen Maßnahmen ergreifen müssen, um sicher zu bleiben.