Mais de 20 mil repositórios privados do GitHub estão acessíveis via Microsoft Copilot

Segundo uma empresa de segurança, o Microsoft Copilot consegue acessar dados de repositórios do GitHub que foram públicos em algum momento, mesmo após terem sido tornados privados ou excluídos. O problema ocorre porque o mecanismo de busca Bing indexa e armazena em cache o conteúdo de repositórios públicos.

Os pesquisadores analisaram repositórios públicos de 2024 e identificaram mais de 20 mil que foram posteriormente tornados privados ou removidos, afetando mais de 16 mil organizações, incluindo AWS, Google, IBM, PayPal e a própria Microsoft. Essa falha permite que invasores explorem o Copilot para recuperar dados sensíveis, como códigos proprietários, chaves de acesso e tokens.

As empresas afetadas foram notificadas a revogar ou rotacionar credenciais comprometidas. A Microsoft, no entanto, classificou a falha como “de baixa gravidade”, argumentando que o armazenamento em cache pelo Bing é um comportamento “aceitável”.