iğer araştırmacılara görüntü tanıma için açık kaynaklı kod ve yapay zeka modelleri sunmak amacıyla GitHub’a eğitim verilerini yükleyen bir Microsoft yapay zeka araştırma ekibi, yanlışlıkla 38 TB kişisel veriyi açığa çıkardı. Bir siber güvenlik firması olan Wiz, Microsoft çalışanlarının bilgisayarlarının yedeklerini içeren dosyalarda yer alan bir bağlantı keşfetti. Wiz, bu yedeklerin Microsoft hizmetlerinin şifrelerini, gizli anahtarları ve teknoloji devinin yüzlerce çalışanının 30.000’den fazla dahili Teams mesajını içerdiğini söylüyor. Ancak Microsoft, olayla ilgili kendi raporunda “hiçbir müşteri verisinin açığa çıkmadığını ve başka hiçbir dahili hizmetin riske atılmadığını” garanti ediyor. Bağlantı, ilgilenen araştırmacıların önceden eğitilmiş modelleri indirebilmeleri için kasıtlı olarak dosyalara dahil edildi. Microsoft’un araştırmacıları, kullanıcıların Azure Depolama hesaplarındaki verilere başkalarının erişmesini sağlayan paylaşılabilir bağlantılar oluşturmasına olanak tanıyan “SAS belirteçleri” adlı bir Azure özelliğini kullandı.
ullanıcılar SAS bağlantıları aracılığıyla hangi bilgilere erişilebileceğini seçebiliyor; ister tek bir dosya, ister tam bir kapsayıcı ya da tüm depolama alanı olsun. Microsoft’un durumunda, araştırmacılar depolama hesabının tamamına erişimi olan bir bağlantı paylaştı. Wiz güvenlik sorununu 22 Haziran’da keşfedip Microsoft’a bildirdi ve şirket 23 Haziran’da SAS belirtecini iptal etti. Microsoft ayrıca tüm genel depolarını yeniden taradığını, ancak sisteminin bu özel bağlantıyı “yanlış pozitif” olarak işaretlediğini açıkladı. Şirket o zamandan bu yana sorunu düzeltti, böylece sistem gelecekte amaçlanandan çok daha fazla izin veren SAS belirteçlerini tespit edebilecek. Wiz’in tespit ettiği söz konusu bağlantı düzeltilmiş olsa da, yanlış yapılandırılmış SAS belirteçleri potansiyel olarak veri sızıntılarına ve büyük gizlilik sorunlarına yol açabilir. Microsoft, “SAS belirteçlerinin uygun şekilde oluşturulması ve kullanılması gerektiğini” kabul ediyor ve bunları kullanırken muhtemelen kendisinin de uyguladığı en iyi uygulamaların bir listesini yayınladı.