Les chercheurs en IA de Microsoft font fuiter des données sensibles

Wiz Research a découvert une fuite de données dans le «AI GitHub Repository» de Microsoft. L'entreprise de cybersécurité examine régulièrement la Toile à la recherche de données et de référentiels publiés par inadvertance. Le référentiel en question appartient à l'unité de recherche en IA de Microsoft et contient des données d'entraînement et des modèles d'IA pour la reconnaissance automatique des images. Ce jeu de données est publié en open source.

Outre les données d'entraînement, le référentiel incriminé contient  30'000 messages Microsoft Teams, des secrets d'entreprise, des clés privées et des mots de passe, écrit Wiz dans un billet de blog. Les chercheurs en IA auraient partagé leurs fichiers entre eux à l'aide de jetons SAS, une clé d'accès. Ceci afin de partager des données de comptes de stockage Azure. Il est dans ce cadre possible de limiter les droits d'accès à certains dossiers, par exemple aux données d'entraînement ou aux modèles d'intelligence artificielle, ou de les étendre à l'ensemble du compte. Dans ce cas de figure, les chercheurs auraient donné accès par erreur au compte entier. 

Outre la lecture des fichiers, les autorisations accordées par inadvertance ont aussi permis d'insérer, écraser, copier et modifier des données. Dans le pire des cas, une personne tierce aurait pu insérer des logiciels malveillants. Comme il s'agit de fichiers .ckp, l'exécution de code arbitraire aurait été possible sans grande difficulté grâce au Pickle Formatter de Python, explique Wiz. Qui ajoute que la fuite se limite aux collaborateurs qui disposent d'un jeton SAS pour le référentiel. Les jetons SAS peuvent toutefois être générés rapidement et échappent alors au contrôle de ceux qui ont créé la clé. Dans ce cas, les risques de sécurité sont particulièrement importants.