AI-onderzoekers bij Microsoft hebben per ongeluk een grote hoeveelheid vertrouwelijke informatie openbaar gemaakt, waaronder ook wachtwoorden. Dat gebeurde toen ze trainingsgegevens – die worden gebruikt voor kunstmatige intelligentie – op GitHub wilden plaatsen.
Het Amerikaanse beveiligingsbedrijf Wiz ontdekte de gevoelige gegevens. Ze zijn gespecialiseerd in het beveiligen van gegevens in de cloud en stuitten op deze inhoud tijdens hun onderzoek naar ongewilde blootstelling van gegevens in de cloud.
Mensen die de opslagruimte op GitHub bezochten, een webgebaseerd platform dat ontwikkelaars gebruiken om samen te werken aan softwareprojecten, konden daar open source code en AI-modellen vinden voor het herkennen van afbeeldingen. Wiz ontdekte dat de link per ongeluk was geconfigureerd om toegang te geven tot het volledige opslagaccount, waardoor ook andere privégegevens toegankelijk werden.
Meer dan back-ups en wachtwoorden
Het ging om maar liefst 38 TB aan gevoelige informatie, waaronder: persoonlijke back-ups van twee Microsoft-computers, wachtwoorden voor Microsoft-diensten en meer dan 30.000 intern uitgewisselde berichten tussen medewerkers.
Het beveiligingsbedrijf merkte dat de link al sinds 2020 verkeerd was ingesteld. Zo stond de Microsoft-link ingesteld op ‘volledige controle’ in plaats van ‘alleen-lezen’. Daardoor kon iedereen die wist waar hij moest zoeken, de inhoud wijzigen of verwijderen.
Microsoft stelt gerust
Microsoft benadrukt dat het opslagaccount zelf niet direct blootgesteld was. De ontwikkelaars van hadden per ongeluk een te ruim gedeelde toegangsreferentie (SAS-token) in de link opgenomen. Je kan zo’n token vergelijken met een link die toegang geeft tot de gegevens van een Azure-opslagaccount.
Er zouden geen klantgegevens openbaar zijn gemaakt en ook de interne diensten waren niet in gevaar. Als reactie op het onderzoek heeft Microsoft de beveiliging van GitHub aangescherpt. Nu worden SAS-tokens gecontroleerd op overmatige rechten en machtigingen die te lang geldig zijn.
Ami Luttwak – medeoprichter en CTO van Wiz – is positief en enthousiast over het gebruik van kunstmatige intelligentie door techbedrijven. Tegelijkertijd waarschuwt hij dat de grote hoeveelheden data die hierbij worden verwerkt, vragen om extra beveiligingscontroles. Dit is met name van belang voor ontwikkelingsteams die veel data beheren, delen en samenwerken aan publieke projecten.