Microsoft’un yapay zeka araştırma ekibi, görüntü tanıma için açık kaynaklı kod ve yapay zeka modellerini diğer araştırmacılara sunmak amacıyla GitHub’a eğitim verilerini yükledi. Ancak, bu yüklemenin bir sonucu olarak yanlışlıkla 38 TB kişisel veriyi açığa çıkardılar. Siber güvenlik firması Wiz, Microsoft çalışanlarının bilgisayarlarının yedeklerini içeren dosyalarda bir bağlantı buldu. Bu yedek dosyalar, Microsoft hizmetlerinin şifrelerini, gizli anahtarları ve yüzlerce çalışanın 30.000’den fazla dahili Teams mesajını içeriyordu. Ancak Microsoft, kendi raporunda “hiçbir müşteri verisinin açığa çıkmadığını ve başka hiçbir dahili hizmetin riske atılmadığını” belirtti.
Bağlantı, diğer araştırmacıların önceden eğitilmiş modelleri indirebilmeleri için dosyalara kasıtlı olarak dahil edildi. Microsoft’un araştırmacıları, kullanıcıların Azure Depolama hesaplarındaki verilere başkalarının erişmesini sağlayan “SAS belirteçleri” adlı bir Azure özelliğini kullandı. Kullanıcılar SAS bağlantıları aracılığıyla hangi bilgilere erişilebileceğini seçebilirler; tek bir dosya, tam bir kapsayıcı veya tüm depolama alanı gibi seçenekler bulunmaktadır. Microsoft’un araştırmacıları, depolama hesabının tamamına erişimi olan bir bağlantı paylaştı.
Wiz, güvenlik sorununu 22 Haziran’da keşfetti ve hemen Microsoft’a bildirdi. Microsoft, 23 Haziran’da SAS token’ını iptal etti ve tüm genel depolarını yeniden taradı, ancak sistemin bu bağlantıyı “yanlış pozitif” olarak işaretlediğini açıkladı. Sorunu düzeltti ve gelecekte daha fazla izin veren SAS belirteçlerini tespit edebilecek bir sistem oluşturdu. Wiz’in keşfettiği bağlantı düzeltilmiş olsa da, yanlış yapılandırılmış SAS belirteçleri veri sızıntılarına ve gizlilik sorunlarına yol açabilir. Microsoft, SAS belirteçlerinin uygun şekilde oluşturulması ve kullanılması gerektiğini kabul ediyor ve bu konuda en iyi uygulamaları içeren bir liste yayınladı.
