Um vazamento massivo de informações abalou a Microsoft, revelando detalhes sobre um console Xbox Series X atualizado, apelidado de ‘Brooklin’, com lançamento previsto para novembro deste ano. Além disso, a equipe de pesquisa em inteligência artificial da Microsoft também acidentalmente vazou 38TB de dados sigilosos da empresa. Esses dados incluíam backups dos computadores dos funcionários da Microsoft, contendo senhas de serviços, chaves secretas e mais de 30.000 mensagens internas do Teams de mais de 350 funcionários.
A empresa agiu rapidamente, afirmando que os dados dos clientes não estavam em risco e que os serviços internos não foram afetados. O vazamento ocorreu devido ao envio acidental de dados confidenciais de treinamento, como código aberto e modelos de inteligência artificial para reconhecimento de imagem, para um repositório público do GitHub. Isso permitiu que usuários acessassem um link do Azure e baixassem os modelos, resultando em um acesso completo à conta de armazenamento do Azure.
A vulnerabilidade foi atribuída a um recurso específico do Azure chamado Tokens de Assinatura de Acesso Compartilhado (SAS). Esses tokens são URLs que concedem acesso restrito aos recursos de armazenamento do Azure, mas, nesse caso, o link fornecia acesso irrestrito. A empresa de segurança cibernética Wiz identificou o problema e o reportou à Microsoft, que prontamente revogou o token SAS afetado.
Esse incidente serve como um alerta para a importância da segurança de dados e da implementação de restrições adequadas. A Microsoft emitiu diretrizes detalhadas para o uso seguro dos tokens SAS e enfatizou a necessidade de precaução ao lidar com dados confidenciais. A rápida resposta da empresa e a resolução do problema ajudaram a evitar danos maiores, destacando a importância da vigilância constante na proteção de informações sensíveis.