យោងតាម The Hacker News , Wiz Research ដែលជាការចាប់ផ្តើមសុវត្ថិភាពពពក - ថ្មីៗនេះបានរកឃើញការលេចធ្លាយទិន្នន័យនៅក្នុងឃ្លាំង GitHub របស់ Microsoft AI ដែលត្រូវបានគេនិយាយថាត្រូវបានលាតត្រដាងដោយចៃដន្យនៅពេលបោះពុម្ពក្រុមនៃទិន្នន័យបណ្តុះបណ្តាលប្រភពបើកចំហ។
ទិន្នន័យដែលលេចធ្លាយរួមមានការបម្រុងទុកនៃស្ថានីយការងាររបស់អតីតបុគ្គលិក Microsoft ចំនួនពីរដែលមានសោសម្ងាត់ ពាក្យសម្ងាត់ និងសារក្រុមការងារខាងក្នុងជាង 30,000 ។
ឃ្លាំងដែលហៅថា "robust-models-transfer" ឥឡូវនេះមិនអាចចូលប្រើបានទេ។ មុនពេលដែលវាត្រូវបានដកចេញ វាមានលក្ខណៈពិសេសប្រភពកូដ និងគំរូរៀនម៉ាស៊ីនទាក់ទងនឹងឯកសារស្រាវជ្រាវឆ្នាំ 2020 ។
Wiz បាននិយាយថាការបំពានទិន្នន័យបានកើតឡើងដោយសារតែភាពងាយរងគ្រោះនៃ SAS tokens ដែលជាលក្ខណៈពិសេសនៅក្នុង Azure ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចែករំលែកទិន្នន័យដែលពិបាកតាមដាន និងពិបាកក្នុងការដកហូត។ ឧប្បត្តិហេតុនេះត្រូវបានរាយការណ៍ទៅ Microsoft នៅថ្ងៃទី 22 ខែមិថុនាឆ្នាំ 2023 ។
ដូច្នោះហើយ ឯកសារ README.md របស់ឃ្លាំងបានណែនាំអ្នកអភិវឌ្ឍន៍ឱ្យទាញយកម៉ូដែលពី Azure Storage URL ដោយអចេតនាដោយផ្តល់នូវការចូលប្រើគណនីផ្ទុកទាំងមូល ដូច្នេះការលាតត្រដាងទិន្នន័យឯកជនបន្ថែម។
អ្នកស្រាវជ្រាវ Wiz បាននិយាយថា បន្ថែមពីលើការចូលប្រើច្រើនហួសប្រមាណ សញ្ញាសម្ងាត់ SAS ក៏ត្រូវបានកំណត់រចនាសម្ព័ន្ធខុសផងដែរ ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពេញលេញជាជាងគ្រាន់តែអាន។ ប្រសិនបើត្រូវបានកេងប្រវ័ញ្ច វាមានន័យថាអ្នកវាយប្រហារមិនត្រឹមតែអាចមើលប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងលុប និងសរសេរជាន់លើឯកសារទាំងអស់នៅក្នុងគណនីផ្ទុកផងដែរ។
ជាការឆ្លើយតបទៅនឹងរបាយការណ៍នេះ ក្រុមហ៊ុន Microsoft បាននិយាយថា ការស៊ើបអង្កេតរបស់ខ្លួនមិនបានរកឃើញភស្តុតាងនៃទិន្នន័យរបស់អតិថិជនត្រូវបានលាតត្រដាងនោះទេ ហើយក៏មិនមែនជាសេវាកម្មខាងក្នុងផ្សេងទៀតដែលមានហានិភ័យដោយសារឧបទ្ទវហេតុនេះដែរ។ ក្រុមហ៊ុនបានសង្កត់ធ្ងន់ថា អតិថិជនមិនចាំបាច់ចាត់វិធានការណាមួយឡើយ ដោយបន្ថែមថា ខ្លួនបានដកហូត SAS tokens និងបានបិទការចូលប្រើខាងក្រៅទាំងអស់ទៅកាន់គណនីផ្ទុក។
ដើម្បីកាត់បន្ថយហានិភ័យស្រដៀងគ្នានេះ ក្រុមហ៊ុន Microsoft បានពង្រីកសេវាកម្មស្កែនសម្ងាត់របស់ខ្លួន ដើម្បីស្វែងរកសញ្ញាសម្ងាត់ SAS ដែលអាចមានសិទ្ធិមានកំណត់ ឬលើសលប់។ វាក៏បានកំណត់អត្តសញ្ញាណកំហុសនៅក្នុងប្រព័ន្ធស្កែនរបស់វា ដែលត្រូវបានក្លែងបន្លំ SAS URLs នៅក្នុងឃ្លាំង។
អ្នកស្រាវជ្រាវនិយាយថា ដោយសារកង្វះសុវត្ថិភាព និងអភិបាលកិច្ចសម្រាប់និមិត្តសញ្ញាគណនី SAS ការប្រុងប្រយ័ត្នគឺជៀសវាងការប្រើប្រាស់ពួកវាសម្រាប់ការចែករំលែកខាងក្រៅ។ កំហុសបង្កើតសញ្ញាសម្ងាត់អាចត្រូវបានមើលរំលងយ៉ាងងាយស្រួល និងបង្ហាញទិន្នន័យរសើប។
កាលពីមុនក្នុងខែកក្កដា ឆ្នាំ 2022 ក្រុមហ៊ុន JUMPSEC Labs បានប្រកាសពីការគំរាមកំហែងដែលអាចកេងប្រវ័ញ្ចគណនីទាំងនេះដើម្បីទទួលបានសិទ្ធិចូលដំណើរការអាជីវកម្ម។
ឯកសាររសើបដែលបានរកឃើញនៅលើការបម្រុងទុកដោយ Wiz Research
នេះជាការបំពានផ្នែកសុវត្ថិភាពចុងក្រោយបង្អស់របស់ក្រុមហ៊ុន Microsoft ដែលកាលពី 2 សប្តាហ៍មុន ក្រុមហ៊ុនក៏បានបង្ហើបថាពួក Hacker ដែលមានប្រភពមកពីប្រទេសចិនបានទម្លាយ និងលួចសោសុវត្ថិភាពខ្ពស់។ ពួក Hacker បានចូលកាន់កាប់គណនីរបស់វិស្វករនៃសាជីវកម្មនេះ ហើយចូលប្រើបណ្ណសារហត្ថលេខាឌីជីថលរបស់អ្នកប្រើ។
Ami Luttwak, CTO នៃ Wiz CTO និយាយថា ឧប្បត្តិហេតុចុងក្រោយបង្ហាញពីហានិភ័យដែលអាចកើតមាននៃការបញ្ចូល AI ទៅក្នុងប្រព័ន្ធធំ។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែល អ្នកវិទ្យាសាស្ត្រ និងវិស្វករទិន្នន័យប្រកួតប្រជែងគ្នាដើម្បីអនុវត្តដំណោះស្រាយ AI ថ្មី ទិន្នន័យដ៏ច្រើនដែលពួកគេបានដំណើរការតម្រូវឱ្យមានការត្រួតពិនិត្យសុវត្ថិភាពបន្ថែម និងការការពារ។
ជាមួយនឹងក្រុមអភិវឌ្ឍន៍ជាច្រើនដែលត្រូវធ្វើការជាមួយទិន្នន័យដ៏ច្រើន ចែករំលែកទិន្នន័យនោះជាមួយមិត្តភ័ក្តិរបស់ពួកគេ ឬសហការលើគម្រោងប្រភពបើកចំហសាធារណៈ ករណីដូចជា Microsoft កាន់តែពិបាកតាមដាន និងជៀសវាង។
ប្រភពតំណ
Kommentar (0)