Microsoft случайно раскрыла 38 ТБ данных, включая бэкапы экс-сотрудников

Екатерина Быстрова 19 Сентября 2023 - 08:53

Случайное разглашение данных

...

Microsoft случайно раскрыла 38 ТБ данных, включая бэкапы экс-сотрудников

Microsoft призналась в случайном раскрытии 38 терабайт конфиденциальных данных в GitHub-репозитории. По словам корпорации, в этом виноват баг, который в настоящее время уже устранён.

Случайная утечка затронула репозиторий, посвящённый разработкам в области искусственного интеллекта (ИИ). Судя по всему, внутренние данные стали общедоступными при публикации информации о моделях обучения.

Более того, среди скомпрометированных сведений также были резервные копии рабочих станций, принадлежавших двум бывшим сотрудникам Microsoft. В бэкапах можно было найти секреты, ключи, пароли и более 30 тысяч внутренних сообщений в Teams.

Проблемным репозиторием стал «robust-models-transfer», сейчас он уже недоступен. До закрытия там можно было найти исходный код и модели машинного обучения, связанные с исследованием «Do Adversarially Robust ImageNet Models Transfer Better».

«Причиной раскрытия данных стал излишне привилегированный токен SAS, представляющий собой функцию Azure для защищённого обмена данными», — гласит отчёт Wiz по поводу недавнего киберинцидента.

Специалисты уверяют, что сообщили о проблеме представителям Microsoft 22 июня 2023 года. В частности, эксперты указывают на файл README.md в репозитории, который указывал разработчикам скачивать модели обучения по конкретному URL в Azure Storage.

В этом моменте проявлялся баг: параллельно открывался доступ ко всему аккаунту хранилища, что подвергало опасности дополнительные конфиденциальные данные.

Кроме того, токен был неверно сконфигурирован, что приводило к выдаче полных прав вместо «только чтение».

Microsoft отреагировала на инцидент, заявив, что внутреннее расследование не выявило никаких признаков доступа к данным третьих лиц. Другие внутренние службы не пострадали, а пользователям не нужно предпринимать дополнительных действий.

Корпорация также заверила всех, что проблемный токен был отозван, а доступ извне к хранилищу — заблокирован.

Следующая главная новость »

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!

Екатерина Быстрова 08 Марта 2026 - 09:30

Соответствие законодательству РФ Общее Соответствие требованиям регуляторов

Минцифры меняет схему передачи данных об активности в онлайн-кинотеатрах

Минцифры, похоже, нашло рабочую схему для передачи данных о просмотрах в онлайн-кинотеатрах компании Mediascope: обсуждается вариант, при котором данные будут идти через «Яндекс» и VK. Если эта конструкция действительно закрепится, рынок получит не просто новый порядок отчётности, а ещё один чувствительный узел в споре о том, где заканчивается медиаизмерение и начинается слишком подробный сбор пользовательской активности.

Сама история тянется с ноября 2025 года. Тогда министерство предложило расширить набор данных, которые соцсети и онлайн-кинотеатры передают Mediascope: в проекте фигурировали бессрочные идентификаторы пользователей, сформированные с использованием номера телефона, а также полная информация о просмотрах фильмов и сериалов.

Логика у ведомства была следующая: сейчас один и тот же человек на разных устройствах часто считается как несколько пользователей, а новый ID должен сделать статистику точнее.

Дальше начались споры уже не о теории, а о практической схеме. Ещё в конце декабря СМИ писали, что техническим посредником при передаче таких данных может стать Яндекс.

В компании тогда уверяли, что мобильные номера к ним не попадут: сервисы будут передавать уже обезличенные идентификаторы, а затем они пройдут дополнительное шифрование. Источники рынка при этом сразу предупреждали о другой стороне вопроса: через такого посредника в любом случае пойдут массивы данных десятков миллионов пользователей, а значит, вырастут и риски их сохранности.

Нашлись и другие претензии: сама идея постоянного идентификатора, привязанного к номеру телефона, для части рынка уже выглядит не как «чуть более точное измерение аудитории», а как слишком чувствительный маркер, который теоретически можно использовать не только для статистики.

На этом фоне новая схема, о которой пишет РБК, с посредниками выглядит как попытка снять хотя бы часть напряжения: не тащить всё напрямую в Mediascope, а проложить между сторонами дополнительный технический слой. Но главный вопрос никуда не делся: поверит ли рынок, что такая модель действительно снижает риски, а не просто делает маршрут данных длиннее.

Потому что для онлайн-кинотеатров и соцсетей это уже не абстрактная регуляторная дискуссия, а вполне конкретный разговор о том, сколько пользовательских данных придётся отдать, кому именно и на каких условиях.

Защита данных от утечек: что сегодня реально работает?
Регистрируйтесь на эфир!