Microsoft стала об'єктом власної недбалості, коли її вчені, які працювали над штучним інтелектом, ненавмисно розкрили декілька десятків терабайтів конфіденційної інформації. Цю подію повідомило TechCrunch.

Ця ситуація виникла під час публікації проєкту з відкритим вихідним кодом на GitHub, який мав на меті продемонструвати можливості штучного інтелекту для розпізнавання зображень.

У цьому проєкті було вказано посилання на URL-адресу з хмарного сховища Azure, де зберігалися навчальні дані для моделі. Але ця URL-адреса не була захищена паролем або іншими методами автентифікації, і, навпаки, надавала повний доступ до всього сховища, яке складалося із 38 терабайтів інформації.

Конфіденційні дані, які були випадково опубліковані науковцями Microsoft у вільний доступ, включали не лише навчальні дані, але й особисту інформацію двох співробітників Microsoft, які розробляли цей проєкт. Серед цих даних були резервні копії їхніх ПК, паролі до служб Microsoft, секретні ключі доступу і понад 30 000 повідомлень з месенджера Microsoft Teams від кількох сотень інших співробітників. Експерти з хмарної безпеки зі стартапу Wiz виявили цю проблему, вивчаючи проєкт Microsoft. Вони звернули увагу на URL-адресу у сховищі Azure і виявили, що вона мала токен публічного доступу (SAS), який дозволяв не лише читати дані із сховища, але й надавав привілеї для їх додавання та редагування.

Експерти Wiz сповістили Microsoft про своє відкриття 22 червня 2023 року, і 24 червня токен публічного доступу було відкликано. Розслідування інциденту в корпорації завершили 16 серпня. За словами представників Microsoft, завдяки своєчасній реакції, у результаті цього інциденту не сталося розкриття клієнтських даних.