जब Microsoft कृत्रिम बुद्धिमत्ता शोधकर्ताओं ने GitHub पर एक ओपन सोर्स प्रशिक्षण डेटा बकेट जारी किया, तो गलती से निजी कुंजी और पासवर्ड सहित दर्जनों टेराबाइट्स संवेदनशील डेटा उजागर हो गए। टेकक्रंच के साथ साझा किए गए एक शोध नोट में, क्लाउड सुरक्षा स्टार्टअप विज़ ने कहा कि उसने क्लाउड-होस्टेड डेटा के आकस्मिक जोखिम पर चल रहे काम के हिस्से के रूप में माइक्रोसॉफ्ट की कृत्रिम बुद्धिमत्ता अनुसंधान इकाई से संबंधित एक GitHub रिपॉजिटरी की खोज की है।
यह GitHub रिपॉजिटरी छवि पहचान के लिए ओपन सोर्स कोड और कृत्रिम बुद्धिमत्ता मॉडल प्रदान करता है, और यह पाठकों को Azure स्टोरेज URL से मॉडल डाउनलोड करने का निर्देश देता है। हालाँकि, विज़ ने पाया कि URL को संपूर्ण संग्रहण खाते को अनुमतियाँ देने के लिए कॉन्फ़िगर किया गया था, जिससे गलती से अधिक निजी डेटा उजागर हो गया।
डेटा में 38TB की संवेदनशील जानकारी शामिल थी, जिसमें दो Microsoft कर्मचारियों के पीसी के व्यक्तिगत बैकअप भी शामिल थे। डेटा में अन्य संवेदनशील व्यक्तिगत डेटा भी शामिल था, जिसमें Microsoft सेवाओं के लिए पासवर्ड और कुंजियाँ और सैकड़ों Microsoft कर्मचारियों के 30,000 से अधिक आंतरिक Microsoft टीम संदेश शामिल थे।
विज़ के अनुसार, 2020 से इस डेटा को उजागर करने वाले यूआरएल को "रीड-ओनली" अनुमतियों के बजाय "पूर्ण नियंत्रण" की अनुमति देने के लिए गलत तरीके से कॉन्फ़िगर किया गया था, जिसका अर्थ है कि जो कोई भी जानता था कि कहां देखना है वह संभावित रूप से दुर्भावनापूर्ण सामग्री को हटा सकता है, बदल सकता है और इंजेक्ट कर सकता है।
विज़ ने बताया कि भंडारण खाता सीधे उजागर नहीं हुआ था। इसके बजाय, Microsoft AI डेवलपर्स ने URL में एक अति-अनुमत साझा एक्सेस सिग्नेचर (SAS) टोकन शामिल किया। एसएएस टोकन एज़्योर द्वारा उपयोग किया जाने वाला एक तंत्र है जो उपयोगकर्ताओं को एज़्योर स्टोरेज खाता डेटा तक पहुंच प्रदान करने वाले साझा करने योग्य लिंक बनाने की अनुमति देता है।
विज़ के सह-संस्थापक और मुख्य प्रौद्योगिकी अधिकारी अमी लुटवाक ने कहा: "कृत्रिम बुद्धिमत्ता ने प्रौद्योगिकी कंपनियों के लिए बड़ी संभावनाओं को खोल दिया है। हालांकि, डेटा वैज्ञानिक और इंजीनियर उत्पादन में नए कृत्रिम बुद्धिमत्ता समाधान डालने की होड़ में हैं, जिस बड़े डेटा को वे संभालते हैं, उसके लिए अतिरिक्त सुरक्षा जांच और सुरक्षा उपायों की आवश्यकता होती है। कई विकास टीमों को बड़ी मात्रा में डेटा संसाधित करने, साथियों के साथ डेटा साझा करने या सार्वजनिक ओपन सोर्स परियोजनाओं पर सहयोग करने की आवश्यकता होती है, माइक्रोसॉफ्ट जैसे मामलों की निगरानी करना और उनसे बचना कठिन होता जा रहा है।"
विज़ ने कहा कि उसने 22 जून को माइक्रोसॉफ्ट के साथ अपने निष्कर्ष साझा किए, और माइक्रोसॉफ्ट ने दो दिन बाद 24 जून को एसएएस टोकन रद्द कर दिया। माइक्रोसॉफ्ट ने कहा कि उसने 16 अगस्त को संभावित संगठनात्मक प्रभाव की अपनी जांच पूरी कर ली है।
Microsoft सुरक्षा प्रतिक्रिया ने प्रकाशन से पहले साझा किए गए एक ब्लॉग पोस्ट में कहा, "कोई भी ग्राहक डेटा उजागर नहीं हुआ था, और इस समस्या के परिणामस्वरूप कोई अन्य आंतरिक सेवाएँ खतरे में नहीं थीं।"
माइक्रोसॉफ्ट ने कहा कि विज़ के निष्कर्षों के आधार पर, उसने गिटहब की सीक्रेट स्कैनिंग सेवा का विस्तार किया है, जो क्रेडेंशियल्स और अन्य रहस्यों के स्पष्ट-पाठ एक्सपोजर को रोकने के लिए सभी सार्वजनिक ओपन सोर्स कोड में परिवर्तनों की निगरानी करता है, जिसमें किसी भी एसएएस टोकन भी शामिल हैं जिनकी अत्यधिक अनुमति समाप्ति या अनुमतियां हो सकती हैं।