Un cúmulo de valiosa información confidencial de empleados de Microsoft ha quedado expuesto gracias a un error cometido por la división Inteligencia Artificial (IA) de la compañía estadounidense. Se trata de un paquete que guardaba 38 terabytes con datos internos, incluidos claves privadas y contraseñas.
De acuerdo a una publicación del sitio TechCrunch, la idea original era publicar en la plataforma GitHub un repositorio de modelos de IA. Material que se encontraría disponible en forma pública para que desarrolladores accedan a herramientas de reconocimiento de imágenes.
¿Qué datos quedaron expuestos por el error de la división IA de Microsoft?
La pretensión fue compartir el trabajo y los avances en el área. Pero en esas carpetas, se incluyó accidentalmente un enlace que permitía ingresar a una cuenta privada en el servicio en la nube Azure.
Entre la gran cantidad de información confidencial que quedó al descubierto por error había copias de seguridad de los perfiles de trabajo de los empleados, contraseñas de servicios y más de 30,000 mensajes internos enviados a través de la herramienta de mensajería Teams.
Se trata de una interfaz que suele utilizarse para trasladar observaciones pormenorizadas sobre el trabajo que se desarrolla. En otras palabras, mensajes sobre los que que únicamente deben estar al corriente empleados de la firma.
De acuerdo a los informes, especialistas de la firma de seguridad Wiz dieron aviso a Microsoft sobre la situación el 22 de junio. Al lanzar la señal de advertencia indicaron que la URL expuso datos desde el año 2020, brindando accesos privilegiados a potenciales actores maliciosos.
Leer más: Conoce los mejores prompts para invertir, trabajar y aprender con ChatGPT (2023)
Por su parte, los equipos de la empresa revocaron los accesos externos dos días más tarde. Una investigación posterior, informada por el Centro de Respuesta de Seguridad de Microsoft, concluyó que la filtración no afectó a los clientes.
“No se expusieron datos que no sean de los empleados y ningún otro servicio interno se puso en riesgo debido a este problema”.
Qué hizo Microsoft para incrementar su seguridad y evitar otro dolor de cabeza
Microsoft hizo saber que frente al resultado de la investigación de Wiz, ha ampliado el servicio de extensión secreta de GitHub. Se trata de la funcionalidad que monitorea todos los cambios públicos en el código fuente abierto.
Con esta medida buscan detectar la exposición de credenciales y otros secretos en texto sin formato para incluir cualquier token SAS que pueda tener vencimientos o privilegios demasiado permisivos.
El cofundador y director de tecnología de Wiz, Ami Luttwak, dijo a TechCrunch que se requieren varios pasos de seguridad para evitar este tipo de circunstancias.
“La IA abre un enorme potencial para las empresas de tecnología. Sin embargo, a medida que los científicos e ingenieros de datos se apresuran para llevar a producción nuevas soluciones de IA, las enormes cantidades de datos que manejan requieren controles y salvaguardas de seguridad adicionales”.
Luttwak detalló la razón por la cual es difícil monitorear este tipo de procesos que buscan compartir avances en un proyecto laboral.
“Dado que muchos equipos de desarrollo necesitan manipular cantidades masivas de datos, compartirlos con sus pares o colaborar en proyectos públicos de código abierto, casos como el de Microsoft son cada vez más difíciles de monitorear y evitar”.
Leer más: ¿Cómo usar Bing? Guía del chatbot de Microsoft impulsado por Inteligencia Artificial
El problema se da a conocer a pocas semanas de la divulgación de una investigación sobre el accionar de ciberdelincuentes en China, que derivó en otro incidente de seguridad relevante.
En ese caso, una falla ocurrida en el año 2021 permitió que un pirata informático comprometa la cuenta de un ingeniero de Microsoft, dándole acceso a cuentas de correo electrónico, incluidas las de agencias gubernamentales de Estados Unidos.
Descargo de responsabilidad
Descargo de responsabilidad: en cumplimiento de las pautas de Trust Project, BeInCrypto se compromete a brindar informes imparciales y transparentes. Este artículo de noticias tiene como objetivo proporcionar información precisa y oportuna. Sin embargo, se recomienda a los lectores que verifiquen los hechos de forma independiente y consulten con un profesional antes de tomar cualquier decisión basada en este contenido.
