LES DOSSIERS DE L'INFORMATICIEN

L'actu cybersécurité avec L'INFO-CR

Fil d'actualité introuvable
Données personnelles

38To de données Microsoft exposées pendant trois ans

La vulnérabilité corrigée par Microsoft exposait des clés privées, des mots de passe et plus de 30 000 messages internes de Microsoft Teams via un lien sur GitHub.

C’est une belle bourde découverte par WIZ et révélé dans un récent rapport. La startup spécialisée dans la cybersécurité cloud a révélé qu’un dépôt public de Microsoft dédié à l’IA sur GitHub avait donné accès à 38 To de données privées de l’entreprise pendant trois ans. « La sauvegarde comprend des secrets, des clés privées, des mots de passe et plus de 30 000 messages internes de Microsoft Teams. », détaille Wiz dans son rapport.

Un niveau d’accès excessif

Des chercheurs de Microsoft avaient en fait partagé leurs fichiers en utilisant une fonctionnalité Azure appelée jetons SAS, permettant de partager des données à partir de comptes Azure Storage. Problème : le niveau d'accès était excessivement permissif et configuré pour partager des modèles d’intelligences artificielle open source mais aussi les 38 To de fichiers privés.

Au-delà de l’erreur de configuration, c’est aussi l’IA qui pose ici question selon Wiz. Alors que les datascientists et les ingénieurs utilisent d’énormes quantités de données pour entraîner leurs modèles d’IA, la startup invite à renforcer les contrôles et moyens de sécurité. Microsoft a indiqué de son côté avoir corrigé l’incident et qu’aucune donnée client n’a été exposée ni aucun autre service interne.

Deux leaks qui se suivent

Ce nouveau couac survient peu de temps après une autre boulette signée Microsoft. Engagé dans une procédure contre la Federal Trade Commission (FTC), le gendarme de la concurrence américain, qui tente de faire capoter le projet de rachat d’Activision Blizzard, Microsoft a accidentellement téléchargé des documents confidentiels sur les serveurs du tribunal du district nord de Californie. Non expurgés, les fichiers ont révélé notamment les projets de consoles de la firme, une nouvelle manette, les prochaines sorties jeux vidéos et de nombreux échanges de mail, entre autres. Les données ont été effacées par la suite, mais ont déjà largement fuité sur internet.  

La quotidienne de l'Informaticien

Abonnez-vous gratuitement 😊

 

Mon panier

 x 

Panier Vide

Notre préférence

Copyright © 2024 L'INFORMATICIEN
- L1FO par l'Informaticien -
Tous droits réservés L'Informaticien
Le magazine L'Informaticien et le site linformaticien.com sont édités par la société PC Presse
Contacts :
  • 88, boulevard de la Villette, 75019 PARIS - FRANCE
  • Tél. +33 1 74 70 16 30
  • Rédaction : [email protected]
  • Abonnements : [email protected]
  • Directeur de la publication : Gaël Chervet
  • Rédacteur en Chef : Bertrand Garé
  • Chef de rubrique : Guillaume Périssat
  • Partenariats / Publicité : Stéphane Larcher /
    +33 1 74 70 16 30 / [email protected]
  • Chef de studio : Franck Soulier
  • L'INFOCYBERRISQUES est édité par PC PRESSE SA au capital de 130.000 euros, 443 043 369 RCS PARIS
Une société du Groupe Ficade
Powered by Mediamatis