Selbst die klügsten Genies können manchmal stolpern, und genau das geschah, nachdem ein Mitglied des KI-Forschungsteams von Microsoft versehentlich 38 TB vertrauliche interne Daten preisgegeben hatte, nachdem es einen Link falsch konfiguriert hatte.
Wiz, ein Cloud-Sicherheitsunternehmen, das regelmäßig nach Schwachstellen oder Gefährdungen von in der Cloud gehosteten Daten sucht, hat die Gefährdung detailliert beschrieben sein Blog (über ITWire). Es wurde ein GitHub-Repository gefunden, das zur KI-Forschungsabteilung von Microsoft gehört und Open-Source-Code und KI-Modelle für die Bilderkennung hostet. Aber das ist noch nicht alles, was Wiz gefunden hat.
Aufgrund eines Konfigurationsfehlers konnte jeder auf das gesamte Speicherkonto zugreifen. Zu diesen Daten gehörten auch zwei vollständige PC-Backups von Microsoft-Mitarbeitern. Laut Wiz umfassten die Daten „sensible persönliche Daten, darunter Passwörter für Microsoft-Dienste, geheime Schlüssel und über 30.000 interne Microsoft Teams-Nachrichten von 359 Microsoft-Mitarbeitern“.
Darüber hinaus waren die Dateien nicht schreibgeschützt. Sie können nach Belieben umgeschrieben oder gelöscht werden. Um Microsoft und den Mitarbeitern gegenüber fair zu sein, war der Zugriff auf die Dateien nicht vollständig öffentlich. Der Zugriff wurde über eine Azure-Freigabefunktion namens SAS-Token gewährt, bei der es sich um einen gemeinsam nutzbaren Link handelt. In diesem Fall wurde jedoch vollständiger Zugriff gewährt. Jeder mit diesem Link, zu dem auch Benutzer gehören würden, die auf den KI-Quellcode zugreifen möchten, hätte Zugriff gehabt.
Was noch schlimmer ist, ist, dass die Daten seit 2020 offengelegt wurden. Microsoft wurde im Juni dieses Jahres auf die Offenlegung aufmerksam gemacht, was bedeutet, dass die Daten drei Jahre lang verfügbar waren.
Microsoft hat in seinem eigenen Blog eine ausführliche Erklärung veröffentlicht, in der es heißt: „Aufgrund dieses Problems wurden keine Kundendaten offengelegt und keine anderen internen Dienste gefährdet. Als Reaktion auf dieses Problem sind keine Maßnahmen des Kunden erforderlich.“
Das hört sich fair an, aber intern gibt es sicher ein paar rote Gesichter und atemlose IT-Mitarbeiter, die hin und her rennen, um offengelegte Passwörter und Schlüssel zu ändern. Nur für den Fall.
Für Kinder, Erwachsene, Gamer und Genies ist es wichtig, Ihre Speicherkonten richtig zu konfigurieren. Man weiß nie, wer vielleicht schnüffelt.