باحثون في مجال الذكاء الاصطناعي في مايكروسوفت يكشفون عن 38 تيرابايت من البيانات عن طريق الخطأ

[إعلان 1]

وفقًا لموقع The Hacker News ، اكتشفت Wiz Research - وهي شركة ناشئة في مجال أمن السحابة - مؤخرًا تسربًا للبيانات في مستودع GitHub الخاص بشركة Microsoft AI، والذي قيل إنه تم الكشف عنه عن طريق الخطأ عند نشر مجموعة من بيانات التدريب مفتوحة المصدر.

وتتضمن البيانات المسربة نسخة احتياطية من محطتي عمل لموظفين سابقين في مايكروسوفت تحتوي على مفاتيح سرية وكلمات مرور وأكثر من 30 ألف رسالة داخلية لفرق العمل.

أصبح المستودع، المسمى "robust-models-transfer"، غير متاح الآن. قبل إغلاقه، كان يتضمن شيفرة مصدرية ونماذج تعلّم آلي متعلقة بورقة بحثية صدرت عام ٢٠٢٠.

صرحت شركة Wiz أن اختراق البيانات حدث بسبب ثغرة أمنية في رموز SAS، وهي ميزة في Azure تتيح للمستخدمين مشاركة بيانات يصعب تتبعها وإلغاؤها. أُبلغت مايكروسوفت بالحادثة في 22 يونيو/حزيران 2023.

وبناءً على ذلك، أرشد ملف README.md الخاص بالمستودع المطورين إلى تنزيل النماذج من عنوان URL الخاص بـ Azure Storage، مما أدى عن غير قصد إلى توفير الوصول إلى حساب التخزين بالكامل، وبالتالي الكشف عن بيانات خاصة إضافية.

قال باحثو Wiz إنه بالإضافة إلى الوصول المفرط، كان رمز SAS مُهيأً بشكل خاطئ، مما يسمح بالتحكم الكامل بدلاً من مجرد القراءة. في حال استغلاله، سيعني ذلك أن المهاجم لن يتمكن فقط من عرض جميع الملفات في حساب التخزين، بل سيتمكن أيضًا من حذفها والكتابة فوقها.

ردًا على التقرير، صرّحت مايكروسوفت بأن تحقيقها لم يعثر على أي دليل على تعرض بيانات العملاء للخطر، ولم تُعرّض أي خدمات داخلية أخرى للخطر بسبب الحادث. وأكدت الشركة أن العملاء ليسوا بحاجة إلى اتخاذ أي إجراء، مضيفةً أنها ألغت رموز SAS وحظرت جميع الوصولات الخارجية إلى حسابات التخزين.

للتخفيف من مخاطر مماثلة، وسّعت مايكروسوفت نطاق خدمة المسح السري لديها للبحث عن أي رموز SAS قد تكون ذات امتيازات محدودة أو مفرطة. كما رصدت خللًا في نظام المسح الخاص بها كان يُشير بشكل خاطئ إلى عناوين URL لـ SAS في المستودع.

يقول الباحثون إنه نظرًا لضعف الأمان والحوكمة في رموز حسابات SAS، فإن الاحتياط هو تجنب استخدامها للمشاركة الخارجية. إذ يُمكن التغاضي بسهولة عن أخطاء إنشاء الرموز، مما قد يُعرّض البيانات الحساسة للخطر.

في وقت سابق في يوليو 2022، أعلنت JUMPSEC Labs عن تهديد قد يستغل هذه الحسابات للوصول إلى الشركات.

Các nhà nghiên cứu AI tại Microsoft vô tình lộ 38TB dữ liệu - Ảnh 1. — تم العثور على ملفات حساسة في النسخ الاحتياطية بواسطة Wiz Research

هذا أحدث اختراق أمني لشركة مايكروسوفت، فقبل أسبوعين كشفت الشركة أيضًا أن قراصنة صينيين اخترقوا وسرقوا مفاتيح أمنية عالية الجودة. سيطر القراصنة على حساب مهندس في الشركة، وتمكنوا من الوصول إلى أرشيف التوقيع الرقمي للمستخدم.

تُظهر الحادثة الأخيرة المخاطر المحتملة لدمج الذكاء الاصطناعي في الأنظمة الكبيرة، وفقًا لأمي لوتواك، المديرة التقنية لشركة Wiz CTO. ومع ذلك، وبينما يتسابق علماء ومهندسو البيانات لتطبيق حلول ذكاء اصطناعي جديدة، تتطلب الكميات الهائلة من البيانات التي يعالجونها فحوصات أمنية وإجراءات حماية إضافية.

مع حاجة العديد من فرق التطوير إلى العمل مع كميات هائلة من البيانات، ومشاركة تلك البيانات مع أقرانهم، أو التعاون في مشاريع مفتوحة المصدر عامة، أصبحت الحالات مثل حالة مايكروسوفت يصعب تتبعها وتجنبها بشكل متزايد.

[إعلان 2]
رابط المصدر