माइक्रोसॉफ्ट के एआई शोधकर्ताओं ने गलती से 38 टीबी डेटा लीक कर दिया

[विज्ञापन_1]

द हैकर न्यूज़ के अनुसार, क्लाउड सुरक्षा स्टार्टअप - विज़ रिसर्च - ने हाल ही में माइक्रोसॉफ्ट एआई के गिटहब रिपॉजिटरी में एक डेटा लीक की खोज की, जिसके बारे में कहा गया था कि ओपन-सोर्स प्रशिक्षण डेटा के एक समूह को प्रकाशित करते समय गलती से उजागर हो गया था।

लीक हुए डेटा में दो पूर्व माइक्रोसॉफ्ट कर्मचारियों के वर्कस्टेशन का बैकअप, गुप्त कुंजियाँ, पासवर्ड और 30,000 से अधिक आंतरिक टीम्स ऐप संदेश शामिल हैं।

"रोबस्ट-मॉडल्स-ट्रांसफर" नामक यह रिपॉजिटरी अब उपलब्ध नहीं है। इसे हटाए जाने से पहले, इसमें 2020 के एक शोध पत्र से संबंधित सोर्स कोड और मशीन लर्निंग मॉडल मौजूद थे।

विज़ ने कहा कि डेटा उल्लंघन एक अत्यधिक असुरक्षित SAS टोकन के कारण हुआ, जो Azure का एक ऐसा फ़ीचर है जो उपयोगकर्ताओं को ऐसा डेटा साझा करने की अनुमति देता है जिसे ट्रैक करना और रद्द करना दोनों ही मुश्किल होता है। इस घटना की सूचना 22 जून, 2023 को Microsoft को दी गई।

तदनुसार, रिपोजिटरी की README.md फ़ाइल ने डेवलपर्स को Azure स्टोरेज URL से मॉडल डाउनलोड करने का निर्देश दिया, जिससे अनजाने में पूरे स्टोरेज खाते तक पहुंच प्रदान हो गई, जिससे अतिरिक्त निजी डेटा उजागर हो गया।

विज़ शोधकर्ताओं ने बताया कि अत्यधिक पहुँच के अलावा, SAS टोकन भी गलत तरीके से कॉन्फ़िगर किया गया था, जिससे केवल पढ़ने की पहुँच के बजाय पूर्ण नियंत्रण की अनुमति मिलती थी। अगर इसका फायदा उठाया जाता, तो हमलावर न केवल स्टोरेज अकाउंट की सभी फ़ाइलों को देख सकता था, बल्कि उन्हें हटा और अधिलेखित भी कर सकता था।

रिपोर्ट के जवाब में, माइक्रोसॉफ्ट ने कहा कि उसकी जाँच में ग्राहक डेटा के उजागर होने का कोई सबूत नहीं मिला, न ही इस घटना के परिणामस्वरूप किसी अन्य आंतरिक सेवा को कोई खतरा था। कंपनी ने ज़ोर देकर कहा कि ग्राहकों को कोई कार्रवाई करने की ज़रूरत नहीं है, और कहा कि उसने SAS टोकन रद्द कर दिए हैं और स्टोरेज खातों तक सभी बाहरी पहुँच को अवरुद्ध कर दिया है।

इसी तरह के जोखिमों को कम करने के लिए, माइक्रोसॉफ्ट ने अपनी गुप्त स्कैनिंग सेवा का विस्तार किया ताकि उन सभी SAS टोकन की तलाश की जा सके जिनके विशेषाधिकार सीमित या अत्यधिक हो सकते हैं। इसने स्कैनिंग सिस्टम में एक बग की भी पहचान की जो रिपॉजिटरी में SAS URL को गलत सकारात्मक के रूप में चिह्नित करता था।

शोधकर्ताओं का कहना है कि SAS अकाउंट टोकन की सुरक्षा और प्रशासन की कमी के कारण, सावधानी यही है कि उन्हें बाहरी साझाकरण के लिए इस्तेमाल करने से बचा जाए। टोकन निर्माण संबंधी त्रुटियों को आसानी से नज़रअंदाज़ किया जा सकता है और संवेदनशील डेटा को उजागर किया जा सकता है।

इससे पहले जुलाई 2022 में, JUMPSEC लैब्स ने एक खतरे का खुलासा किया था जो व्यवसायों तक पहुंच प्राप्त करने के लिए इन खातों का फायदा उठा सकता था।

Các nhà nghiên cứu AI tại Microsoft vô tình lộ 38TB dữ liệu - Ảnh 1. — विज़ रिसर्च द्वारा बैकअप में संवेदनशील फ़ाइलें पाई गईं

यह माइक्रोसॉफ्ट का नवीनतम सुरक्षा उल्लंघन है। 2 हफ़्ते पहले कंपनी ने यह भी खुलासा किया था कि चीन से आए हैकरों ने कंपनी के एक इंजीनियर के अकाउंट में सेंध लगाकर उसकी उच्च-सुरक्षा कुंजियाँ चुरा ली थीं। हैकरों ने कंपनी के एक इंजीनियर के अकाउंट पर कब्ज़ा कर लिया और उपयोगकर्ता के डिजिटल हस्ताक्षर भंडार तक पहुँच बना ली।

विज़ सीटीओ की सीटीओ, अमी लुटवाक कहती हैं कि हालिया घटना बड़े सिस्टम में एआई के इस्तेमाल के संभावित जोखिमों को दर्शाती है। उनका कहना है कि एआई तकनीकी कंपनियों के लिए अपार संभावनाएं प्रदान करता है। हालाँकि, जैसे-जैसे डेटा वैज्ञानिक और इंजीनियर नए एआई समाधानों को लागू करने की होड़ में लगे हैं, उनके द्वारा संसाधित किए जाने वाले भारी मात्रा में डेटा के लिए अतिरिक्त सुरक्षा जाँच और सुरक्षा उपायों की आवश्यकता होती है।

चूंकि अनेक विकास टीमों को भारी मात्रा में डेटा के साथ काम करना पड़ता है, उस डेटा को अपने साथियों के साथ साझा करना पड़ता है, या सार्वजनिक ओपन सोर्स परियोजनाओं पर सहयोग करना पड़ता है, इसलिए माइक्रोसॉफ्ट जैसे मामलों को ट्रैक करना और उनसे बचना कठिन होता जा रहा है।

[विज्ञापन_2]
स्रोत लिंक