Microsoft yanlışlıkla 30 bin Teams mesajını ve şifreleri sızdırdı

Microsoft'un yapay zeka araştırma ekibi, yanlışlıkla şirket şifrelerini ve 30.000 dahili Teams mesajını sızdırdı.

Microsoft'taki yapay zeka araştırmacılarından oluşan bir ekibin, çalışmalarını paylaşmaya çalışırken yanlışlıkla büyük miktarda veri sızdırdığı şirket tarafından Pazartesi günü doğrulandı.

Microsoft, ekibin yapay zeka sektöründe yaygın bir davranış olduğu üzere, yazılım geliştirme platformu GitHub'da açık kaynaklı eğitim verilerini paylaşmaya çalıştığını söyledi.

Ancak siber güvenlik firması Wiz, araştırmacıların yanlışlıkla insanlara 38 terabayt değerinde veriye erişim sağladığını keşfetti.

Bunun nedeni, Microsoft araştırmacılarının GitHub deposunun kullanıcılara yapay zeka modellerini bir bulut depolama URL'sinden indirmelerini söylemesi. Ancak Wiz'e göre bağlantı, tüm depolama hesabında izinler verecek şekilde yanlış yapılandırılmıştı.

Wiz, hesabın Microsoft çalışanlarının kişisel bilgisayar yedeklerini, Microsoft hizmetlerinin şifrelerini, gizli anahtarları ve 30.000'den fazla dahili Teams mesajını içerdiğini tespit etti.

Microsoft Pazartesi günkü blog yazısında "Hiçbir müşteri verisi açığa çıkmadı ve bu sorun nedeniyle başka hiçbir dahili hizmet riske atılmadı. Bu soruna yanıt olarak herhangi bir müşteri eylemi gerekmemektedir" notu düştü.

Şirket ayrıca "Müşterilerimizi bilgilendirmek ve gelecekte benzer olaylardan kaçınmalarına yardımcı olmak için aşağıdaki öğrenimleri ve en iyi uygulamaları paylaşıyoruz" ifadelerini kullandı.

Wiz sorunu Haziran ayında Microsoft'a bildirmiş, Microsoft da iki gün sonra bağlantıyı geçersiz kılmıştı. Her iki şirket de fiyaskoyu Pazartesi günü açıkladı.

Bu, Microsoft'un Çin merkezli bilgisayar korsanlarıyla ilgili bir soruşturmanın bulgularını yayınlamasının üzerinden iki haftadan kısa bir süre geçti. Soruşturma, 2021 yılında bir sistem çöktüğünde, sürecin anlık görüntüsünün yanlışlıkla bir imzalama anahtarını ortaya çıkardığını tespit etti.

Bu sayede Storm-0558 olarak bilinen tehdit aktörü bir Microsoft mühendisinin hesabını ele geçirerek ABD devlet kurumlarınınki de dahil olmak üzere e-posta hesaplarına erişim sağladı.