Un fallo de principiantes: Microsoft expone por error datos sensibles de sus empleados al compartir un proyecto de código abierto

Ana Higuera NOTICIA19.09.2023 - 10:06h
  • Los empleados de la división de inteligencia artificial de Microsoft expusieron por accidente 38 TB de datos confidenciales en GitHub.
Microsoft empieza a ofrecer vacaciones ilimitadas.
Microsoft empieza a ofrecer vacaciones ilimitadas.
©[Turag Photography] via Unsplash.com.
Microsoft empieza a ofrecer vacaciones ilimitadas.

La división de inteligencia artificial (IA) de Microsoft expuso accidentalmente 38 TB de datos con información sensible de los empleados de la compañía —contraseñas de servicios, claves secretas, copias de seguridad de los ordenadores personales de los trabajadores, más de 30.000 mensajes internos de la aplicación Teams de cientos de empleados y otros datos confidenciales— mientras publicaban un depósito de almacenamiento de datos de capacitación de código abierto en GitHub.

Según TechCrunch, "la startup de seguridad en la nube Wiz dijo que descubrió un repositorio de GitHub perteneciente a la división de investigación de inteligencia artificial de Microsoft como parte de su trabajo en curso sobre la exposición accidental de datos alojados en la nube". Además, los lectores del repositorio de GitHub recibieron instrucciones para descargar los modelos desde una URL de Azure Storage, sin embargo, Wiz descubrió que dicha URL estaba configurada para otorgar permisos en la cuenta de almacenamiento —exponiendo por error datos privados adicionales—.

La URL expuso datos de 2020 e incluso estaba mal configurada para permitir "control total" en lugar de permisos de "solo lectura", es decir, cualquier persona podía eliminar, reemplazar e introducir contenido malicioso.

Sin embargo, esta exposición de datos sensible no es del todo preocupante, debido a que la cuenta de almacenamiento no quedó directamente expuesta. Concretamente, los empleados de Microsoft incluyeron un token de firma de acceso compartido demasiado permisivo en la URL, que permite a los usuarios crear vínculos compartibles que dan acceso a los datos de una cuenta de Azure Storage.

La respuesta de Microsoft

TechCrunch informa que "el Centro de Respuesta de Seguridad de Microsoft dijo que no expusieron datos de clientes y ningún otro servicio interno se puso en riesgo debido a este problema". 

Añadiendo que "como resultado de la investigación de Wiz, la Big Tech amplió el servicio de extensión secreta de GitHub, que monitorea todos los cambios públicos en el código fuente abierto para detectar la exposición de credenciales y otros secretos en texto sin formato para incluir cualquier token SAS que pueda tener vencimientos o privilegios demasiado permisivos".

Apúntate a nuestra newsletter y recibe en tu correo las últimas noticias sobre tecnología.

Mostrar comentarios

Códigos Descuento

© 20 Minutos Editora, S.L.

Queda prohibida toda reproducción sin permiso escrito de la empresa a los efectos del artículo 32.1, párrafo segundo, de la Ley de Propiedad Intelectual. Asimismo, a los efectos establecidos en el artículo 33.1 de Ley de Propiedad Intelectual, la empresa hace constar la correspondiente reserva de derechos, por sí y por medio de sus redactores o autores.