Компания Microsoft случайно выложила в открытый доступ 38 ТБ личных данных своих же собственных сотрудников.
Оплошность обнаружила компания Wiz Research. Оказалось, что исследовательская группа Microsoft по искусственному интеллекту, публикуя набор обучающих данных с открытым исходным кодом на GitHub, случайно выложила там же 38 ТБ личных данных, включая резервную копию диска рабочих станций двух сотрудников.
Среди этих данных есть даже пароли и более 30 000 сообщений в Teams, принадлежащих 359 сотрудникам компании. По ошибке сотрудники компании открыли доступ ко всей учётной записи. И всё из-за неправильного использования одной из функций платформы Azure — токены SAS. Эти токены позволяют обмениваться подписанными URL-адресами для предоставления доступа к данным, размещённым в Azure. Уровень доступа может быть настроен пользователем, но конкретный токен SAS в этой истории указывал на неправильно настроенную корзину хранилища Azure, содержащую множество конфиденциальных данных.