Sin querer, Microsoft expuso una enorme cantidad de datos en Internet a través de un repositorio público de GitHub entre el 20 de julio de 2020 y el 24 de junio de 2023. Wiz, una empresa de ciberseguridad especializada en la nube alertó al gigante tecnológico, el 22 de junio del año pasado.
Wiz arrojó luz sobre un incidente que lleva casi tres años ocurriendo
Sólo tres meses después, el 18 de septiembre, el incidente se hizo público en una publicación de blog publicada por Wiz. Como afirma la empresa, “ la copia de seguridad incluyó secretos, claves privadas, nombres de usuario y contraseñas, y más de 30.000 mensajes de Microsoft Teams de 359 empleados de Microsoft. » para un total de 38 terabytes de datos confidenciales.
Si bien el nivel de acceso al repositorio de GitHub podría estar limitado a ciertos tipos de archivos, se configuró de tal manera que alguien con el enlace de la cuenta de almacenamiento podría tener acceso a todo su contenido. Durante casi tres años, investigadores especializados en inteligencia artificial de la firma de Redmond contribuyeron a la cuenta sin darse cuenta de que todo lo que allí ponían podía ser consultado por cualquiera.
Además de los datos confidenciales mencionados anteriormente, Microsoft también reveló los datos de entrenamiento utilizados para entrenar sus modelos de inteligencia artificial. No fue hasta el 24 de junio de 2023 que el grupo liderado por Satya Nadella revocó el acceso público a estos datos confidenciales.
Microsoft acepta su error e intenta tranquilizar al público en general
Por su parte, Microsoft también publicó un comunicado de prensa, declarando “ Investigado para solucionar un incidente que involucró a un empleado de Microsoft que compartía la URL del repositorio público de GitHub, mientras ayudaba a desarrollar modelos de aprendizaje de IA de código abierto. “. Para Bloombergdijo un portavoz de Microsoft “ que ningún dato del cliente había sido expuesto y ningún servicio interno estaba en riesgo “.
Sigue siendo bastante sorprendente que un error de este tipo no se haya corregido mucho antes. Para Wiz, este incidente puso de relieve los riesgos asociados con el entrenamiento de grandes modelos de inteligencia artificial. Al involucrar “ Grandes conjuntos de datos para entrenar, los equipos de desarrollo generan enormes cantidades de comentarios que comparten con sus colaboradores. “. Por tanto, resulta cada vez más complicado controlar estos intercambios y transferencias y evitar situaciones como la vivida por Microsoft.