យោងតាម The Hacker News , Wiz Research ដែលជាការចាប់ផ្តើមសុវត្ថិភាពពពក - ថ្មីៗនេះបានរកឃើញការលេចធ្លាយទិន្នន័យនៅក្នុងឃ្លាំង GitHub របស់ Microsoft AI ដែលត្រូវបានគេនិយាយថាត្រូវបានលាតត្រដាងដោយចៃដន្យនៅពេលបោះពុម្ពក្រុមនៃទិន្នន័យបណ្តុះបណ្តាលប្រភពបើកចំហ។
ទិន្នន័យដែលលេចធ្លាយរួមមានការបម្រុងទុកនៃស្ថានីយការងាររបស់អតីតបុគ្គលិក Microsoft ចំនួនពីរដែលមានសោសម្ងាត់ ពាក្យសម្ងាត់ និងសារក្នុងកម្មវិធី Teams ច្រើនជាង 30,000។
ឃ្លាំងដែលគេហៅថា "robust-models-transfer" ឥឡូវមិនអាចចូលបានទេ។ មុនពេលដែលវាត្រូវបានដកចេញ វាមានលក្ខណៈពិសេសប្រភពកូដ និងគំរូរៀនម៉ាស៊ីនទាក់ទងនឹងឯកសារស្រាវជ្រាវឆ្នាំ 2020 ។
Wiz បាននិយាយថាការបំពានទិន្នន័យបានកើតឡើងដោយសារតែ SAS token ដែលងាយរងគ្រោះខ្លាំងពេក ដែលជាលក្ខណៈពិសេសនៅក្នុង Azure ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចែករំលែកទិន្នន័យដែលពិបាកតាមដាន និងពិបាកក្នុងការដកហូត។ ឧប្បត្តិហេតុនេះត្រូវបានរាយការណ៍ទៅ Microsoft នៅថ្ងៃទី 22 ខែមិថុនាឆ្នាំ 2023 ។
ដូច្នោះហើយ ឯកសារ README.md របស់ឃ្លាំងបានណែនាំអ្នកអភិវឌ្ឍន៍ឱ្យទាញយកម៉ូដែលពី Azure Storage URL ដោយអចេតនាដោយផ្តល់នូវការចូលប្រើគណនីផ្ទុកទាំងមូល ដូច្នេះការលាតត្រដាងទិន្នន័យឯកជនបន្ថែម។
អ្នកស្រាវជ្រាវ Wiz បាននិយាយថា បន្ថែមពីលើការចូលប្រើច្រើនហួសហេតុនោះ សញ្ញាសម្ងាត់ SAS ក៏ត្រូវបានកំណត់រចនាសម្ព័ន្ធខុសផងដែរ ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពេញលេញជាជាងការចូលប្រើបានតែអានប៉ុណ្ណោះ។ ប្រសិនបើត្រូវបានកេងប្រវ័ញ្ច វាមានន័យថាអ្នកវាយប្រហារមិនត្រឹមតែអាចមើលប៉ុណ្ណោះទេ ប៉ុន្តែថែមទាំងលុប និងសរសេរជាន់លើឯកសារទាំងអស់នៅក្នុងគណនីផ្ទុកផងដែរ។
ជាការឆ្លើយតបទៅនឹងរបាយការណ៍នេះ ក្រុមហ៊ុន Microsoft បាននិយាយថា ការស៊ើបអង្កេតរបស់ខ្លួនមិនបានរកឃើញភស្តុតាងនៃទិន្នន័យរបស់អតិថិជនត្រូវបានលាតត្រដាងនោះទេ ហើយក៏មិនមែនជាសេវាកម្មខាងក្នុងផ្សេងទៀតដែលមានហានិភ័យជាលទ្ធផលនៃឧប្បត្តិហេតុនោះទេ។ ក្រុមហ៊ុនបានសង្កត់ធ្ងន់ថា អតិថិជនមិនចាំបាច់ចាត់វិធានការណាមួយឡើយ ហើយបាននិយាយថា ខ្លួនបានដកហូតសញ្ញាសម្ងាត់ SAS និងបានបិទការចូលប្រើប្រាស់ខាងក្រៅទាំងអស់ទៅកាន់គណនីផ្ទុកទិន្នន័យ។
ដើម្បីកាត់បន្ថយហានិភ័យស្រដៀងគ្នានេះ ក្រុមហ៊ុន Microsoft បានពង្រីកសេវាកម្មស្កែនសម្ងាត់របស់ខ្លួន ដើម្បីស្វែងរកសញ្ញាសម្ងាត់ SAS ដែលអាចមានសិទ្ធិមានកំណត់ ឬលើសលប់។ វាក៏បានកំណត់អត្តសញ្ញាណកំហុសនៅក្នុងប្រព័ន្ធស្កេនដែលបានដាក់ទង់ SAS URLs នៅក្នុងឃ្លាំងថាជាវិជ្ជមានមិនពិត។
អ្នកស្រាវជ្រាវនិយាយថា ដោយសារកង្វះសុវត្ថិភាព និងអភិបាលកិច្ចសម្រាប់និមិត្តសញ្ញាគណនី SAS ការប្រុងប្រយ័ត្នគឺជៀសវាងការប្រើប្រាស់ពួកវាសម្រាប់ការចែករំលែកខាងក្រៅ។ កំហុសនៃការបង្កើតសញ្ញាសម្ងាត់អាចត្រូវបានឆ្លងកាត់យ៉ាងងាយស្រួល និងបង្ហាញទិន្នន័យរសើប។
កាលពីមុនក្នុងខែកក្កដា ឆ្នាំ 2022 ក្រុមហ៊ុន JUMPSEC Labs បានបង្ហាញការគំរាមកំហែងដែលអាចកេងប្រវ័ញ្ចគណនីទាំងនេះដើម្បីទទួលបានសិទ្ធិចូលដំណើរការអាជីវកម្ម។
ឯកសាររសើបត្រូវបានរកឃើញនៅលើការបម្រុងទុកដោយ Wiz Research
នេះជាការបំពានផ្នែកសុវត្ថិភាពចុងក្រោយបង្អស់របស់ក្រុមហ៊ុន Microsoft ដែលកាលពី 2 សប្តាហ៍មុន ក្រុមហ៊ុនក៏បានបង្ហើបថាពួក Hacker ដែលមានប្រភពមកពីប្រទេសចិនបានទម្លាយ និងលួចសោសុវត្ថិភាពខ្ពស់។ ពួក Hacker បានចូលកាន់កាប់គណនីរបស់វិស្វករនៃសាជីវកម្មនេះ ហើយចូលប្រើឃ្លាំងហត្ថលេខាឌីជីថលរបស់អ្នកប្រើ។
Ami Luttwak, CTO នៃ Wiz CTO ដែលនិយាយថា AI ផ្តល់សក្ដានុពលដ៏ធំសម្រាប់ក្រុមហ៊ុនបច្ចេកវិទ្យា បាននិយាយថា ឧប្បត្តិហេតុចុងក្រោយបង្ហាញពីហានិភ័យដែលអាចកើតមាននៃការណែនាំ AI ទៅក្នុងប្រព័ន្ធធំៗ។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែល អ្នកវិទ្យាសាស្ត្រ និងវិស្វករទិន្នន័យប្រកួតប្រជែងគ្នាដើម្បីអនុវត្តដំណោះស្រាយ AI ថ្មី ទិន្នន័យដ៏ច្រើនដែលពួកគេបានដំណើរការតម្រូវឱ្យមានការត្រួតពិនិត្យសុវត្ថិភាពបន្ថែម និងការការពារ។
ជាមួយនឹងក្រុមអភិវឌ្ឍន៍ជាច្រើនដែលត្រូវធ្វើការជាមួយទិន្នន័យដ៏ច្រើន ចែករំលែកទិន្នន័យនោះជាមួយមិត្តភ័ក្តិរបស់ពួកគេ ឬសហការលើគម្រោងប្រភពបើកចំហសាធារណៈ ករណីដូចជា Microsoft កាន់តែពិបាកតាមដាន និងជៀសវាង។
ប្រភពតំណ
Kommentar (0)