חוקרי בינה מלאכותית במיקרוסופט חשפו בטעות 38 טרה-בייט של נתונים

[מודעה_1]

על פי The Hacker News , Wiz Research - סטארט-אפ בתחום אבטחת ענן - גילה לאחרונה דליפת נתונים במאגר GitHub של מיקרוסופט בתחום הבינה המלאכותית, שלטענתם נחשף בטעות בעת פרסום קבוצת נתוני הדרכה בקוד פתוח.

הנתונים שדלפו כוללים גיבוי של שני תחנות עבודה של עובדי מיקרוסופט לשעבר עם מפתחות סודיים, סיסמאות ויותר מ-30,000 הודעות פנימיות של Teams.

המאגר, שנקרא "robust-models-transfer", אינו נגיש כעת. לפני שהוסר, הוא כלל קוד מקור ומודלים של למידת מכונה הקשורים למאמר מחקר משנת 2020.

וויז מסרה כי פרצת הנתונים התרחשה עקב פגיעות של אסימוני SAS, תכונה ב-Azure המאפשרת למשתמשים לשתף נתונים שקשה לעקוב אחריהם וקשה לבטלם. האירוע דווח למיקרוסופט ב-22 ביוני 2023.

בהתאם לכך, קובץ README.md של המאגר הורה למפתחים להוריד מודלים מכתובת URL של Azure Storage, ובכך סיפק גישה בטעות לכל חשבון האחסון, ובכך חשף נתונים פרטיים נוספים.

חוקרי Wiz אמרו שבנוסף לגישה המוגזמת, גם אסימון ה-SAS הוגדר בצורה שגויה, מה שמאפשר שליטה מלאה במקום רק קריאה. אם ינוצל, פירוש הדבר שתוקף יוכל לא רק לצפות, אלא גם למחוק ולהחליף את כל הקבצים בחשבון האחסון.

בתגובה לדיווח, מיקרוסופט מסרה כי החקירה שלה לא מצאה ראיות לחשיפת נתוני לקוחות, וגם לא היו שירותים פנימיים אחרים בסיכון עקב התקרית. החברה הדגישה כי הלקוחות אינם צריכים לנקוט בפעולה כלשהי, והוסיפה כי ביטלה את אסימוני SAS וחסמה את כל הגישה החיצונית לחשבונות אחסון.

כדי להפחית סיכונים דומים, מיקרוסופט הרחיבה את שירות הסריקה הסודית שלה כדי לחפש אסימוני SAS שעשויים להיות בעלי הרשאות מוגבלות או מוגזמות. כמו כן, היא זיהתה באג במערכת הסריקה שלה שסימן באופן שקרי כתובות URL של SAS במאגר.

חוקרים אומרים שבשל חוסר האבטחה והניהול של אסימוני חשבון SAS, אמצעי הזהירות הוא להימנע משימוש בהם לשיתוף חיצוני. שגיאות יצירת אסימונים עלולות להתעלם בקלות ולחשוף נתונים רגישים.

מוקדם יותר, ביולי 2022, מעבדות JUMPSEC הכריזו על איום שעלול לנצל חשבונות אלה כדי לקבל גישה לעסקים.

Các nhà nghiên cứu AI tại Microsoft vô tình lộ 38TB dữ liệu - Ảnh 1. — קבצים רגישים נמצאו בגיבויים של Wiz Research

זוהי פרצת האבטחה האחרונה של מיקרוסופט, לפני שבועיים החברה חשפה גם כי האקרים שמקורם בסין חדרו וגנבו מפתחות בעלי אבטחה גבוהה. האקרים השתלטו על חשבון של מהנדס של התאגיד הזה וגשו לארכיון החתימות הדיגיטליות של המשתמש.

התקרית האחרונה מראה את הסיכונים הפוטנציאליים של שילוב בינה מלאכותית במערכות גדולות, אומר עמי לוטוואק, מנהל הטכנולוגיה הראשי של Wiz. עם זאת, ככל שמדעני נתונים ומהנדסים ממהרים ליישם פתרונות בינה מלאכותית חדשים, כמויות הנתונים העצומות שהם מעבדים דורשות בדיקות אבטחה ואמצעי הגנה נוספים.

עם צוותי פיתוח רבים שצריכים לעבוד עם כמויות אדירות של נתונים, לשתף נתונים אלה עם עמיתיהם, או לשתף פעולה בפרויקטים ציבוריים בקוד פתוח, מקרים כמו של מיקרוסופט הופכים קשים יותר ויותר למעקב ולהימנעות.

[מודעה_2]
קישור למקור