Ερευνητές τεχνητής νοημοσύνης στη Microsoft αποκάλυψαν κατά λάθος 38 TB δεδομένων

Σύμφωνα με το The Hacker News , η Wiz Research - μια νεοσύστατη εταιρεία ασφάλειας cloud - ανακάλυψε πρόσφατα μια διαρροή δεδομένων στο αποθετήριο GitHub της Microsoft AI, η οποία λέγεται ότι εκτέθηκε κατά λάθος κατά τη δημοσίευση μιας ομάδας δεδομένων εκπαίδευσης ανοιχτού κώδικα.

Τα δεδομένα που διέρρευσαν περιλαμβάνουν ένα αντίγραφο ασφαλείας δύο σταθμών εργασίας πρώην υπαλλήλων της Microsoft με μυστικά κλειδιά, κωδικούς πρόσβασης και περισσότερα από 30.000 εσωτερικά μηνύματα του Teams.

Το αποθετήριο, που ονομάζεται "robust-models-transfer", είναι πλέον μη προσβάσιμο. Πριν από την κατάργησή του, περιείχε πηγαίο κώδικα και μοντέλα μηχανικής μάθησης που σχετίζονταν με μια ερευνητική εργασία του 2020.

Ο Wiz δήλωσε ότι η παραβίαση δεδομένων συνέβη λόγω της ευπάθειας των SAS tokens, μιας λειτουργίας του Azure που επιτρέπει στους χρήστες να μοιράζονται δεδομένα που είναι δύσκολο να παρακολουθηθούν και να ανακληθούν. Το περιστατικό αναφέρθηκε στη Microsoft στις 22 Ιουνίου 2023.

Συνεπώς, το αρχείο README.md του αποθετηρίου έδωσε οδηγίες στους προγραμματιστές να κατεβάσουν μοντέλα από μια διεύθυνση URL Azure Storage, παρέχοντας ακούσια πρόσβαση σε ολόκληρο τον λογαριασμό αποθήκευσης, εκθέτοντας έτσι πρόσθετα ιδιωτικά δεδομένα.

Οι ερευνητές της Wiz δήλωσαν ότι εκτός από την υπερβολική πρόσβαση, το διακριτικό SAS είχε επίσης εσφαλμένη διαμόρφωση, επιτρέποντας τον πλήρη έλεγχο αντί για απλή ανάγνωση. Εάν γινόταν αντικείμενο εκμετάλλευσης, θα σήμαινε ότι ένας εισβολέας θα μπορούσε όχι μόνο να δει, αλλά και να διαγράψει και να αντικαταστήσει όλα τα αρχεία στον λογαριασμό αποθήκευσης.

Απαντώντας στην αναφορά, η Microsoft δήλωσε ότι η έρευνά της δεν βρήκε στοιχεία έκθεσης δεδομένων πελατών, ούτε άλλες εσωτερικές υπηρεσίες κινδύνευσαν λόγω του περιστατικού. Η εταιρεία τόνισε ότι οι πελάτες δεν χρειάζεται να προβούν σε καμία ενέργεια, προσθέτοντας ότι έχει ανακαλέσει τα SAS tokens και έχει μπλοκάρει κάθε εξωτερική πρόσβαση σε λογαριασμούς αποθήκευσης.

Για τον μετριασμό παρόμοιων κινδύνων, η Microsoft έχει επεκτείνει την υπηρεσία μυστικής σάρωσης για να αναζητήσει τυχόν διακριτικά SAS που ενδέχεται να έχουν περιορισμένα ή υπερβολικά δικαιώματα. Εντόπισε επίσης ένα σφάλμα στο σύστημα σάρωσης που έδειχνε ψευδώς τις διευθύνσεις URL SAS στο αποθετήριο.

Οι ερευνητές λένε ότι λόγω της έλλειψης ασφάλειας και διακυβέρνησης για τα διακριτικά λογαριασμού SAS, η προφύλαξη είναι να αποφεύγεται η χρήση τους για εξωτερική κοινή χρήση. Τα σφάλματα δημιουργίας διακριτικών μπορούν εύκολα να παραβλεφθούν και να εκθέσουν ευαίσθητα δεδομένα.

Προηγουμένως, τον Ιούλιο του 2022, η JUMPSEC Labs ανακοίνωσε μια απειλή που θα μπορούσε να εκμεταλλευτεί αυτούς τους λογαριασμούς για να αποκτήσει πρόσβαση σε επιχειρήσεις.

Αυτή είναι η τελευταία παραβίαση ασφαλείας της Microsoft. Πριν από 2 εβδομάδες, η εταιρεία αποκάλυψε επίσης ότι χάκερ με προέλευση την Κίνα είχαν διεισδύσει και είχαν κλέψει κλειδιά υψηλής ασφάλειας. Οι χάκερ ανέλαβαν τον λογαριασμό ενός μηχανικού αυτής της εταιρείας και απέκτησαν πρόσβαση στο αρχείο ψηφιακής υπογραφής του χρήστη.

Το τελευταίο περιστατικό δείχνει τους πιθανούς κινδύνους της ενσωμάτωσης της Τεχνητής Νοημοσύνης σε μεγάλα συστήματα, λέει η Ami Luttwak, CTO της Wiz CTO. Ωστόσο, καθώς οι επιστήμονες δεδομένων και οι μηχανικοί αγωνίζονται να εφαρμόσουν νέες λύσεις Τεχνητής Νοημοσύνης, οι τεράστιες ποσότητες δεδομένων που επεξεργάζονται απαιτούν πρόσθετους ελέγχους ασφαλείας και διασφαλίσεις.

Καθώς πολλές ομάδες ανάπτυξης χρειάζεται να εργαστούν με τεράστιες ποσότητες δεδομένων, να τα μοιραστούν με συναδέλφους τους ή να συνεργαστούν σε δημόσια έργα ανοιχτού κώδικα, περιπτώσεις όπως αυτή της Microsoft γίνονται ολοένα και πιο δύσκολες στην παρακολούθηση και την αποφυγή.