30'000 private Nachrichten veröffentlicht

Datenleck in Microsofts KI-Forschungseinheit

Uhr
von Dejan Wäckerlin und msc

Microsofts KI-Forschungsteam hat unabsichtlich 38 Terabytes an privaten Daten hochgeladen, darunter auch die Backups der Workstations von zwei Angestellten. Forscher haben die Daten mit falsch konfigurierten SAS-Tokens untereinander geteilt. SAS-Tokens lassen sich leicht leaken und sind schwierig zu widerrufen.

(Source: methodshop / pixabay.com)
(Source: methodshop / pixabay.com)

Wiz Research hat ein Datenleck in Microsofts "AI GitHub Repository" entdeckt. Das Unternehmen untersucht das Internet regelmässig auf unabsichtlich veröffentlichte Daten und Repositories. Das nun gefundene Leak beinhaltet unter anderem mehr als 30'000 Microsoft Teams Nachrichten, wie Wiz in einem Blogpost schreibt. Das Repository gehört Microsofts KI-Forschungseinheit an und enthält Trainingsdaten und KI-Modelle für die automatische Bilderkennung.

Neben den Nachrichten und den Trainingsdaten beinhaltet das angezeigte Repository auch Firmengeheimnisse, private Schlüssel und Passwörter, wie Wiz schreibt. Die KI-Forschenden hätten ihre Dateien mit SAS-Tokens, einem Zugangsschlüssel, untereinander geteilt. Dies erlaube den Nutzerinnen und Nutzern, Daten von Azure Storage Accounts zu teilen. Die Zugriffsberechtigung könnten Arbeiter dabei wahlweise auf einzelne Ordner, beispielsweise Trainingsdaten oder KI-Modelle, einschränken oder auf den ganzen Account erweitern.

In diesem Falle hätten sie fälschlicherweise den ganzen Account veröffentlicht. Die dort angezeigte URL habe dabei Zugriff zu mehr als den KI-Modellen und Trainingsdaten erlaubt.

Neben dem Lesen der Dateien konnten User laut Wiz auch Daten einfügen, überschreiben, kopieren und anderswie ändern. Im schlimmsten Falle hätte jemand von aussen auch Malware einfügen können. Da es sich dabei um .ckp-Files handelt, wäre die Ausführung von willkürlichem Code wegen Pythons Pickle Formatter ohne grössere Schwierigkeiten möglich gewesen.

Das Leak beschränkt sich laut Wiz nur auf jene Mitarbeitenden, die über einen SAS-Token für das Repository verfügen. SAS-Tokens können aber schnell generiert werden und sind dann ausserhalb der Kontrolle derjenigen, die den Schlüssel erschaffen haben. Insbesondere hier bestehen dann grosse Sicherheitsrisiken.

Microsoft kämpft schon seit einiger Zeit mit Sicherheitslücken. Welche erst vor kurzem entdeckt oder geschlossen worden sind, können Sie hier lesen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
54ZM9C7Q