Microsoft vaza 38TB de dados confidenciais da nuvem Azure

A divisão de pesquisa de inteligência artificial (IA) da Microsoft vazou acidentalmente dezenas de terabytes de dados confidenciais a partir de julho de 2020, enquanto contribuía com modelos de aprendizado de IA de código aberto para um repositório público do GitHub.

O vazamento foi descoberto quase três anos depois pela empresa de segurança em nuvem Wiz. Os pesquisadores da empresa suspeitam que um funcionário da Microsoft compartilhou inadvertidamente a URL de um bucket (contêiner) de armazenamento de Blob do Azure, configurado incorretamente, contendo as informações vazadas.

A Microsoft vinculou a exposição de dados ao uso de um token SAS (de assinatura de acesso compartilhado) excessivamente permissivo, que permitia controle total sobre os arquivos compartilhados. Esse recurso do Azure permite o compartilhamento de dados de uma maneira descrita pelos pesquisadores da Wiz como desafiadora para monitorar e revogar. 

Quando usados corretamente, os tokens SAS oferecem um meio seguro de conceder acesso a recursos em sua conta de armazenamento. Isso inclui controle preciso sobre o acesso aos dados do cliente, especificando os recursos com os quais eles podem interagir, definindo suas permissões em relação a esses recursos e determinando a duração da validade do token SAS.

“Devido à falta de monitoramento e governança, os tokens SAS representam um risco à segurança e seu uso deve ser o mais limitado possível. Esses tokens são muito difíceis de rastrear, pois a Microsoft não fornece uma maneira centralizada de gerenciá-los no portal do Azure”, alertou a Wiz nesta segunda-feira, 18. “Além disso, esses tokens podem ser configurados para durar efetivamente para sempre, sem limite máximo em seu tempo de expiração. Portanto, usar tokens SAS de conta para compartilhamento externo não é seguro e deve ser evitado.”

A equipe de pesquisadores da Wiz descobriu que, além dos modelos de código aberto, a conta de armazenamento interno também permitia inadvertidamente o acesso a 38 terabytes (TB) de dados privados adicionais.

Os dados expostos incluíam backups de informações pessoais pertencentes a funcionários da Microsoft, incluindo senhas para serviços da Microsoft, chaves secretas e um arquivo de mais de 30 mil mensagens internas do Microsoft Teams originadas de 359 funcionários da empresa.

Em um comunicado nesta segunda-feira da equipe do Microsoft Security Response Center (MSRC), a empresa disse que nenhum dado de cliente foi exposto e nenhum outro serviço interno enfrentou risco devido a esse incidente.De acordo com a Wiz, a equipe de resposta de segurança da Microsoft invalidou o token SAS dois dias após a divulgação inicial, em junho deste ano. O token foi substituído no GitHub um mês depois.

* Com informações do CISO Advisor

Hermann Santos de Almirante

Recent Posts

Governo pressiona ANPD a fiscalizar brinquedos com IA por riscos à privacidade infantil

O Ministério da Justiça e Segurança Pública solicitou que a Autoridade Nacional de Proteção de…

1 dia ago

Inteligência Artificial acelera consumo de dados e coloca redes corporativas brasileiras sob pressão

A rápida adoção da Inteligência Artificial (IA) deixou de representar apenas um desafio para equipes…

5 dias ago

Google libera mudança de endereços do Gmail no Brasil

O Google começou a permitir no Brasil as mudanças em endereços do Gmail (o que…

2 semanas ago

Amazon pressiona governo dos EUA contra Anthropic e setor de cibersegurança alerta para riscos da medida

A decisão do governo dos Estados Unidos de restringir o acesso a modelos avançados de…

3 semanas ago

Vazamento de dados da Polícia Civil do Maranhão no PIX é o quinto episódio do ano

O Banco Central (BC) divulgou, nesta sexta-feira (12 de junho de 2026), que registrou ocorrência…

4 semanas ago

IA no Setor Público: Responsabilidade, Privacidade de Dados e Transparência no Uso da Inteligência Artificial

A crescente adoção da inteligência artificial na administração pública brasileira traz ganhos significativos de produtividade,…

1 mês ago