Datenleck in Microsofts KI-Forschungseinheit
Microsofts KI-Forschungsteam hat unabsichtlich 38 Terabytes an privaten Daten hochgeladen, darunter auch die Backups der Workstations von zwei Angestellten. Forscher haben die Daten mit falsch konfigurierten SAS-Tokens untereinander geteilt. SAS-Tokens lassen sich leicht leaken und sind schwierig zu widerrufen.
Wiz Research hat ein Datenleck in Microsofts "AI GitHub Repository" entdeckt. Das Unternehmen untersucht das Internet regelmässig auf unabsichtlich veröffentlichte Daten und Repositories. Das nun gefundene Leak beinhaltet unter anderem mehr als 30'000 Microsoft Teams Nachrichten, wie Wiz in einem Blogpost schreibt. Das Repository gehört Microsofts KI-Forschungseinheit an und enthält Trainingsdaten und KI-Modelle für die automatische Bilderkennung.
Neben den Nachrichten und den Trainingsdaten beinhaltet das angezeigte Repository auch Firmengeheimnisse, private Schlüssel und Passwörter, wie Wiz schreibt. Die KI-Forschenden hätten ihre Dateien mit SAS-Tokens, einem Zugangsschlüssel, untereinander geteilt. Dies erlaube den Nutzerinnen und Nutzern, Daten von Azure Storage Accounts zu teilen. Die Zugriffsberechtigung könnten Arbeiter dabei wahlweise auf einzelne Ordner, beispielsweise Trainingsdaten oder KI-Modelle, einschränken oder auf den ganzen Account erweitern.
In diesem Falle hätten sie fälschlicherweise den ganzen Account veröffentlicht. Die dort angezeigte URL habe dabei Zugriff zu mehr als den KI-Modellen und Trainingsdaten erlaubt.
Neben dem Lesen der Dateien konnten User laut Wiz auch Daten einfügen, überschreiben, kopieren und anderswie ändern. Im schlimmsten Falle hätte jemand von aussen auch Malware einfügen können. Da es sich dabei um .ckp-Files handelt, wäre die Ausführung von willkürlichem Code wegen Pythons Pickle Formatter ohne grössere Schwierigkeiten möglich gewesen.
Das Leak beschränkt sich laut Wiz nur auf jene Mitarbeitenden, die über einen SAS-Token für das Repository verfügen. SAS-Tokens können aber schnell generiert werden und sind dann ausserhalb der Kontrolle derjenigen, die den Schlüssel erschaffen haben. Insbesondere hier bestehen dann grosse Sicherheitsrisiken.
Microsoft kämpft schon seit einiger Zeit mit Sicherheitslücken. Welche erst vor kurzem entdeckt oder geschlossen worden sind, können Sie hier lesen.
Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den Newsletter von Swisscybersecurity.net an. Auf dem Portal lesen Sie täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.
KI wirkt als Katalysator in der Cybersicherheit
Bundesrat treibt KI-Strategie für Bundesverwaltung weiter voran
Bundesrat bestimmt Fokusthemen der Strategie Digitale Schweiz 2026
Cyberangriffe auf die Schweiz sinken weiter
Wenn der Tag schon anders anfängt als gedacht
Noser Engineering erweitert Geschäftsleitung um zwei Köpfe
Microsoft sieht sich Milliardenklage wegen zu hohen Cloud-Lizenzen gegenüber
KI beflügelt 2025 die Neugründungen von Start-ups in der Schweiz
Wie Cyberkriminelle Opfer mit täuschend echten Animationen in die Falle locken
