Datenleck in Microsofts KI-Forschungseinheit
Microsofts KI-Forschungsteam hat unabsichtlich 38 Terabytes an privaten Daten hochgeladen, darunter auch die Backups der Workstations von zwei Angestellten. Forscher haben die Daten mit falsch konfigurierten SAS-Tokens untereinander geteilt. SAS-Tokens lassen sich leicht leaken und sind schwierig zu widerrufen.
Wiz Research hat ein Datenleck in Microsofts "AI GitHub Repository" entdeckt. Das Unternehmen untersucht das Internet regelmässig auf unabsichtlich veröffentlichte Daten und Repositories. Das nun gefundene Leak beinhaltet unter anderem mehr als 30'000 Microsoft Teams Nachrichten, wie Wiz in einem Blogpost schreibt. Das Repository gehört Microsofts KI-Forschungseinheit an und enthält Trainingsdaten und KI-Modelle für die automatische Bilderkennung.
Neben den Nachrichten und den Trainingsdaten beinhaltet das angezeigte Repository auch Firmengeheimnisse, private Schlüssel und Passwörter, wie Wiz schreibt. Die KI-Forschenden hätten ihre Dateien mit SAS-Tokens, einem Zugangsschlüssel, untereinander geteilt. Dies erlaube den Nutzerinnen und Nutzern, Daten von Azure Storage Accounts zu teilen. Die Zugriffsberechtigung könnten Arbeiter dabei wahlweise auf einzelne Ordner, beispielsweise Trainingsdaten oder KI-Modelle, einschränken oder auf den ganzen Account erweitern.
In diesem Falle hätten sie fälschlicherweise den ganzen Account veröffentlicht. Die dort angezeigte URL habe dabei Zugriff zu mehr als den KI-Modellen und Trainingsdaten erlaubt.
Neben dem Lesen der Dateien konnten User laut Wiz auch Daten einfügen, überschreiben, kopieren und anderswie ändern. Im schlimmsten Falle hätte jemand von aussen auch Malware einfügen können. Da es sich dabei um .ckp-Files handelt, wäre die Ausführung von willkürlichem Code wegen Pythons Pickle Formatter ohne grössere Schwierigkeiten möglich gewesen.
Das Leak beschränkt sich laut Wiz nur auf jene Mitarbeitenden, die über einen SAS-Token für das Repository verfügen. SAS-Tokens können aber schnell generiert werden und sind dann ausserhalb der Kontrolle derjenigen, die den Schlüssel erschaffen haben. Insbesondere hier bestehen dann grosse Sicherheitsrisiken.
Microsoft kämpft schon seit einiger Zeit mit Sicherheitslücken. Welche erst vor kurzem entdeckt oder geschlossen worden sind, können Sie hier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
Scammer kommen via Phishing-Mail an Facebook-Bezahldaten
Schweden seit Nato-Beitritt verstärkt im DDoS-Visier
Bitdefender startet Förderprogramm für Start-ups
Schweizer Strafverfolger überwachen etwas weniger, holen aber mehr Auskünfte ein
Update: Fast 34 Millionen Roblox-Zugangsdaten landen im Darknet
Gil Shwed über Rücktritt, Cybercrime und KI
Wieso man nicht ziellos herumirren sollte beim Telefonieren
Protonmail lanciert Dark Web Monitoring
Hamster entrinnt dem Regenbogen-Labyrinth
