محققان هوش مصنوعی در مایکروسافت به طور تصادفی ۳۸ ترابایت داده را فاش کردند

طبق گزارش The Hacker News ، Wiz Research - یک استارتاپ امنیت ابری - اخیراً یک نشت داده در مخزن GitHub مایکروسافت AI کشف کرده است که گفته می‌شود هنگام انتشار گروهی از داده‌های آموزشی متن‌باز، به‌طور تصادفی افشا شده است.

داده‌های فاش‌شده شامل نسخه پشتیبان از دو ایستگاه کاری کارمندان سابق مایکروسافت به همراه کلیدهای مخفی، رمزهای عبور و بیش از ۳۰ هزار پیام داخلی تیمز است.

این مخزن که «robust-models-transfer» نام دارد، اکنون غیرقابل دسترسی است. پیش از حذف شدن، شامل کد منبع و مدل‌های یادگیری ماشینی مربوط به یک مقاله تحقیقاتی مربوط به سال ۲۰۲۰ بود.

ویز گفت که نقض داده‌ها به دلیل آسیب‌پذیری توکن‌های SAS رخ داده است، ویژگی‌ای در Azure که به کاربران امکان می‌دهد داده‌هایی را به اشتراک بگذارند که ردیابی و لغو آنها دشوار است. این حادثه در ۲۲ ژوئن ۲۰۲۳ به مایکروسافت گزارش شد.

بر این اساس، فایل README.md مخزن به توسعه‌دهندگان دستور می‌داد تا مدل‌ها را از یک آدرس اینترنتی Azure Storage دانلود کنند، که ناخواسته دسترسی به کل حساب ذخیره‌سازی را فراهم می‌کرد و در نتیجه داده‌های خصوصی بیشتری را افشا می‌کرد.

محققان Wiz گفتند که علاوه بر دسترسی بیش از حد، توکن SAS نیز به اشتباه پیکربندی شده بود و به جای خواندن، امکان کنترل کامل را فراهم می‌کرد. در صورت سوءاستفاده، به این معنی است که یک مهاجم نه تنها می‌تواند تمام فایل‌های موجود در حساب ذخیره‌سازی را مشاهده کند، بلکه می‌تواند آنها را حذف و بازنویسی کند.

در پاسخ به این گزارش، مایکروسافت اعلام کرد که تحقیقاتش هیچ مدرکی دال بر افشای اطلاعات مشتریان پیدا نکرده و هیچ سرویس داخلی دیگری نیز به دلیل این حادثه در معرض خطر قرار نگرفته است. این شرکت تأکید کرد که مشتریان نیازی به انجام هیچ اقدامی ندارند و افزود که توکن‌های SAS را لغو کرده و تمام دسترسی‌های خارجی به حساب‌های ذخیره‌سازی را مسدود کرده است.

برای کاهش خطرات مشابه، مایکروسافت سرویس اسکن مخفی خود را گسترش داده است تا هرگونه توکن SAS که ممکن است امتیازات محدود یا بیش از حد داشته باشد را جستجو کند. همچنین یک اشکال در سیستم اسکن خود شناسایی کرد که URL های SAS را در مخزن به اشتباه علامت گذاری می کرد.

محققان می‌گویند به دلیل عدم امنیت و مدیریت توکن‌های حساب SAS، احتیاط این است که از استفاده از آنها برای اشتراک‌گذاری خارجی خودداری شود. خطاهای تولید توکن را می‌توان به راحتی نادیده گرفت و داده‌های حساس را افشا کرد.

پیش از این در ژوئیه ۲۰۲۲، آزمایشگاه‌های JUMPSEC تهدیدی را اعلام کردند که می‌توانست از این حساب‌ها برای دسترسی به مشاغل سوءاستفاده کند.

Các nhà nghiên cứu AI tại Microsoft vô tình lộ 38TB dữ liệu - Ảnh 1. — فایل‌های حساسی که توسط Wiz Research در نسخه‌های پشتیبان پیدا شدند

این آخرین نقض امنیتی مایکروسافت است، دو هفته پیش نیز این شرکت فاش کرد که هکرهای چینی به کلیدهای امنیتی بالای این شرکت نفوذ کرده و آنها را به سرقت برده‌اند. هکرها حساب کاربری یکی از مهندسان این شرکت را در اختیار گرفتند و به بایگانی امضای دیجیتال کاربر دسترسی پیدا کردند.

امی لاتواک، مدیر ارشد فناوری Wiz، می‌گوید: «حادثه اخیر، خطرات بالقوه ادغام هوش مصنوعی در سیستم‌های بزرگ را نشان می‌دهد.» با این حال، همزمان با رقابت دانشمندان و مهندسان داده برای پیاده‌سازی راه‌حل‌های جدید هوش مصنوعی، حجم عظیم داده‌هایی که پردازش می‌کنند، نیاز به بررسی‌ها و اقدامات حفاظتی امنیتی بیشتری دارد.

با توجه به اینکه بسیاری از تیم‌های توسعه نیاز به کار با حجم عظیمی از داده‌ها، اشتراک‌گذاری این داده‌ها با همکاران خود یا همکاری در پروژه‌های متن‌باز عمومی دارند، مواردی مانند مورد مایکروسافت به طور فزاینده‌ای دشوار برای ردیابی و اجتناب می‌شوند.

لینک منبع