วิซ (Wiz) บริษัทให้บริการด้านความปลอดภัยของระบบคลาวด์เปิดเผยว่า ทีมวิจัยด้านปัญญาประดิษฐ์ (AI) ของบริษัทไมโครซอฟท์ได้ทำข้อมูลภายในขนาด 38 เทราไบต์ซึ่งรวมถึงข้อมูลที่มีความอ่อนไหว เช่น รหัสส่วนตัวและรหัสผ่าน รั่วไหลสู่สาธารณะโดยไม่ได้ตั้งใจ โดยข้อมูลเหล่านี้ยังรวมถึงข้อความภายในของทีมงานไมโครซอฟท์กว่า 30,000 ข้อความ ซึ่งเหตุการณ์ดังกล่าวเกิดขึ้นในขณะที่ทีมวิจัยกำลังแชร์ข้อมูลการฝึกฝน AI แบบโอเพน-ซอร์ส (open-source training data) บนเว็บไซต์ของ GitHub
อย่างไรก็ดี ไมโครซอฟท์ยืนยันว่า ไม่พบว่าข้อมูลส่วนตัวของลูกค้าไมโครซอฟท์รั่วไหลจากกรณีดังกล่าว
Wiz ระบุว่า การรั่วไหลของข้อมูลในครั้งนี้เกิดขึ้นในขณะที่ทีมวิจัยของไมโครซอฟท์ได้ใช้ฟีเจอร์บนแพลตฟอร์ม Azure ที่ชื่อว่าโทเคน "แชร์ แอคเซส ซิกเนเจอร์" (Shared Access Signature - SAS) เพื่อแชร์ไฟล์ของทีมงาน แต่ระดับการเข้าถึง (access level) เกิดความผิดพลาดทางเทคนิค โดยแทนที่ฟีเจอร์ดังกล่าวจะจำกัดการเข้าถึงไฟล์อย่างเจาะจง แต่ลิงก์กลับทำการแชร์บัญชีที่เก็บสำรองไว้ทั้งหมด ซึ่งรวมถึงข้อมูลส่วนบุคคลของทีมงานซึ่งมีขนาด 38 เทราไบต์
นอกจากนี้ โทเคน SAS ที่ถูกออกแบบอย่างผิดพลาด ยังปล่อยให้บุคคลภายนอกสามารถเข้าควบคุมข้อมูลเหล่านี้อย่างเต็มรูปแบบ ซึ่งหมายความว่า ไม่เพียงแต่ผู้ไม่ประสงค์ดีจะสามารถเห็นไฟล์ทั้งหมดในบัญชีที่เก็บสำรองข้อมูลเท่านั้น แต่บุคคลเหล่านี้ยังสามารถลบและบันทึกข้อมูลทับลงบนไฟล์ทั้งหมดด้วย
ทั้งนี้ Wiz รายงานว่า ทางบริษัทแจ้งถึงการค้นพบเหล่านี้ให้ไมโครซอฟท์ได้รับทราบเมื่อวันที่ 22 มิ.ย.ที่ผ่านมา ซึ่งส่งผลให้ไมโครซอฟท์ตัดสินใจเพิกถอนโทเคน SAS ในวันที่ 24 มิ.ย.
ไมโครซอฟท์ได้เสร็จสิ้นการตรวจสอบเรื่องดังกล่าวแล้ว และไม่พบว่าข้อมูลของลูกค้าหรือการบริการด้านอื่น ๆ ของไมโครซอฟท์มีความเสี่ยงอันเนื่องมาจากกรณีดังกล่าว นอกจากนี้ ไมโครซอฟท์กล่าวว่า ลูกค้าไม่จำเป็นต้องใช้แนวทางใด ๆ เพิ่มเติมในการปกป้องความปลอดภัยของข้อมูล
"เราขอยืนยันว่า ไม่มีข้อมูลของลูกค้ารั่วไหล และการบริการภายในด้านอื่น ๆ ของบริษัทก็ไม่ได้เผชิญกับความเสี่ยงอันเนื่องมาจากกรณีดังกล่าว ลูกค้าไม่มีความจำเป็นต้องดำเนินการใด ๆ ต่อเหตุการณ์ที่เกิดขึ้นในครั้งนี้" ไมโครซอฟท์ระบุในแถลงการณ์
ไมโครซอฟท์อธิบายว่า ปัญหาดังกล่าวเกิดขึ้นจากความผิดพลาดโดยไม่ได้ตั้งใจของทีมวิจัยของไมโครซอฟท์ ซึ่งรวมถึงโทเคน SAS ในการเก็บสำรองข้อมูลบน GitHub ในระหว่างการใช้โมเดลฝึกฝน AI แบบโอเพน-ซอร์ส นอกจากนี้ ไมโครซอฟท์ยังชี้แจงว่า ไม่พบประเด็นที่ไม่ปลอดภัยหรือมีความเปราะบางภายในฟีเจอร์ Azure Storage หรือ โทเคน SAS แต่อย่างใด
นอกจากนี้ ไมโครซอฟท์ระบุว่า เพื่อเป็นการป้องกันไม่ให้เหตุการณ์ดังกล่าวเกิดขึ้นอีก ทางบริษัทขอให้ผู้ใช้งานทำการสร้างและจัดการกับโทเคน SAS อย่างเหมาะสม และปฏิบัติตามกฎระเบียบอย่างดีที่สุด พร้อมกับกล่าวว่า ทางบริษัทกำลังเร่งปรับปรุงเครื่องมือการตรวจจับและการสแกน เพื่อแจ้งเตือนในกรณีที่มีการใช้ SAS URLs มากเกินไป และปรับปรุงฟีเจอร์ secure-by-default (ปลอดภัยไว้ก่อน) ให้มีประสิทธิภาพมากยิ่งขึ้นด้วย