Une quantité considérable d' informations confidentielles précieuses provenant d'employés de Microsoft ont été divulguées par erreur par une équipe de développeurs d'intelligence artificielle de l'entreprise fondée par Bill Gates alors qu'ils tentaient de partager leur travail.
Cela a été reconnu par la même entreprise technologique qui a précisé qu '"aucune donnée client n'a été exposée et aucun autre service interne n'a été mis en danger en raison de ce problème". Aucune action du client n’est requise en réponse à ce problème. Cet avertissement indique que "nous partagerons l'expérience et ce que nous avons appris afin que nos clients soient informés et puissent éviter de subir de tels incidents à l'avenir".
Et bien que Microsoft ne semble pas y avoir accordé beaucoup d'importance, les inquiétudes ne sont pas mineures car il s'agissait d'un package qui stockait 38 téraoctets de données internes, avec des copies de sauvegarde des profils de travail des employés de l'entreprise, des mots de passe des services et plus de 30 000 messages internes envoyés via l’outil de messagerie Teams .
Il s'agit d'une plateforme fréquemment utilisée pour transmettre des observations détaillées sur le travail effectué, ces messages ne doivent donc être accessibles qu'aux travailleurs de l' entreprise .
Comment la fuite s'est produite
Microsoft précise que son équipe essayait de partager des données open source sur GitHub avec lesquelles former des modèles d'IA , ce qui est courant dans le secteur. Et Wiz , une société de cybersécurité, a découvert que les développeurs avaient accidentellement inclus l'accès à ces 38 téraoctets de données, qui faisaient partie de la documentation téléchargée par les experts dans le référentiel.
Les chercheurs de l’éditeur de logiciels ont convenu que les données permettant de former des modèles d’IA pourraient être téléchargées via un lien. Ces informations étaient hébergées dans le cloud , mais le lien n'était pas bien configuré car les visiteurs pouvaient accéder non seulement à ces données, mais aussi à tout ce qui était stocké dans ce service.
L'échec était lié à l'exposition des données, à l'utilisation d'un jeton d'accès partagé très permissif, qui permettait un contrôle total des données et Wiz a signalé le problème à Microsoft en juin dernier, qui a invalidé le lien deux jours plus tard. Cependant, les deux sociétés ont décidé de révéler la situation il y a quelques heures seulement.
Le risque est latent
La découverte est annoncée juste après que Microsoft lui-même a partagé ses conclusions sur les cybercriminels chinois , qui ont réussi à les attaquer grâce au fait qu'un de leurs systèmes est tombé en panne en 2021 et que pendant le processus de restauration, une capture a accidentellement divulgué une clé.
Ce mot de passe a permis aux assaillants, nommés Storm-0558 , de simuler une séance d'ingénieurs au sein de l'entreprise, ce qui leur a donné accès aux comptes des agences fédérales aux États-Unis.
La société a également signalé que des cybercriminels soutenus par l'Iran ont mené une série de cyberattaques ciblant des sociétés pharmaceutiques, de défense et de satellites aux États-Unis et dans diverses régions du monde. En outre, il a averti que ces attaquants ont réussi à infiltrer des milliers d'organisations qui ont été la cible de leurs attaques.
Selon Microsoft, ces cybercriminels ont utilisé une technique de piratage très efficace , soulignant la détermination des groupes de piratage basés à Téhéran à accéder à de précieuses informations de renseignement et « depuis février 2023, des activités de piratage de mots de passe contre des milliers d'organisations ont été observées par un acteur que nous suivre sous le nom de Peach Sandstorm.
Et bien qu'il soit difficile de déterminer les motivations précises des cyberattaques contre ces entreprises, les sanctions économiques imposées à la nation islamique ont accru l'incitation à rechercher des secrets commerciaux appartenant à des entreprises étrangères, comme l'explique Sherrod DeGrippo , directeur de la menace. stratégie de renseignement chez Microsoft.