ນັກຄົ້ນຄວ້າ AI ຢູ່ Microsoft ໄດ້ເປີດເຜີຍຂໍ້ມູນ 38 TB ໂດຍບັງເອີນ

ອີງຕາມ The Hacker News , Wiz Research - ເປັນ startup ຄວາມປອດໄພ cloud - ບໍ່ດົນມານີ້ໄດ້ຄົ້ນພົບການຮົ່ວໄຫລຂອງຂໍ້ມູນຢູ່ໃນບ່ອນເກັບມ້ຽນ GitHub ຂອງ Microsoft AI, ເຊິ່ງໄດ້ຖືກກ່າວວ່າໄດ້ຖືກເປີດເຜີຍໂດຍບັງເອີນໃນເວລາເຜີຍແຜ່ກຸ່ມຂໍ້ມູນການຝຶກອົບຮົມແບບເປີດ.

ຂໍ້ມູນທີ່ຮົ່ວໄຫລໄປລວມທັງການສໍາຮອງຂໍ້ມູນຂອງສອງສະຖານີເຮັດວຽກຂອງ Microsoft ໃນອະດີດທີ່ມີກະແຈລັບ, ລະຫັດຜ່ານ, ແລະຫຼາຍກ່ວາ 30,000 ຂໍ້ຄວາມຂອງທີມງານ.

ຄັງເກັບມ້ຽນ, ເອີ້ນວ່າ "robust-models-transfer," ດຽວນີ້ບໍ່ສາມາດເຂົ້າໄດ້. ກ່ອນທີ່ມັນຖືກເອົາລົງ, ມັນໄດ້ສະແດງລະຫັດແຫຼ່ງແລະຮູບແບບການຮຽນຮູ້ເຄື່ອງຈັກທີ່ກ່ຽວຂ້ອງກັບເອກະສານການຄົ້ນຄວ້າປີ 2020.

Wiz ກ່າວວ່າການລະເມີດຂໍ້ມູນດັ່ງກ່າວເກີດຂື້ນຍ້ອນຄວາມອ່ອນແອຂອງ SAS tokens, ຄຸນນະສົມບັດໃນ Azure ທີ່ອະນຸຍາດໃຫ້ຜູ້ໃຊ້ສາມາດແບ່ງປັນຂໍ້ມູນທີ່ມີຄວາມຫຍຸ້ງຍາກໃນການຕິດຕາມແລະຍາກທີ່ຈະຖອນຄືນ. ເຫດການດັ່ງກ່າວໄດ້ຖືກລາຍງານຕໍ່ Microsoft ໃນວັນທີ 22 ເດືອນມິຖຸນາ 2023.

ດັ່ງນັ້ນ, ໄຟລ໌ README.md ຂອງບ່ອນເກັບມ້ຽນໄດ້ແນະນໍານັກພັດທະນາໃຫ້ດາວໂຫລດແບບຈໍາລອງຈາກ Azure Storage URL, ໂດຍບໍ່ໄດ້ຕັ້ງໃຈໃຫ້ການເຂົ້າເຖິງບັນຊີການເກັບຮັກສາທັງຫມົດ, ດັ່ງນັ້ນການເປີດເຜີຍຂໍ້ມູນສ່ວນຕົວເພີ່ມເຕີມ.

ນັກຄົ້ນຄວ້າ Wiz ກ່າວວ່ານອກເຫນືອຈາກການເຂົ້າເຖິງຫຼາຍເກີນໄປ, SAS token ຍັງຖືກຕັ້ງຄ່າຜິດ, ອະນຸຍາດໃຫ້ຄວບຄຸມຢ່າງເຕັມທີ່ແທນທີ່ຈະພຽງແຕ່ອ່ານ. ຖ້າຖືກຂູດຮີດ, ມັນຫມາຍຄວາມວ່າຜູ້ໂຈມຕີບໍ່ພຽງແຕ່ສາມາດເບິ່ງ, ແຕ່ຍັງລຶບແລະຂຽນທັບໄຟລ໌ທັງຫມົດໃນບັນຊີເກັບຮັກສາ.

ໃນການຕອບສະຫນອງຕໍ່ບົດລາຍງານ, Microsoft ກ່າວວ່າການສືບສວນຂອງຕົນບໍ່ໄດ້ພົບເຫັນຫຼັກຖານໃດໆຂອງຂໍ້ມູນຂອງລູກຄ້າທີ່ຖືກເປີດເຜີຍ, ຫຼືບໍລິການພາຍໃນອື່ນໆທີ່ມີຄວາມສ່ຽງຍ້ອນເຫດການດັ່ງກ່າວ. ບໍລິສັດໄດ້ເນັ້ນຫນັກວ່າລູກຄ້າບໍ່ຈໍາເປັນຕ້ອງດໍາເນີນການໃດໆ, ເພີ່ມວ່າມັນໄດ້ຖອນ SAS tokens ແລະປິດການເຂົ້າເຖິງພາຍນອກທັງຫມົດໃນບັນຊີເກັບຮັກສາ.

ເພື່ອຫຼຸດຜ່ອນຄວາມສ່ຽງທີ່ຄ້າຍຄືກັນ, Microsoft ໄດ້ຂະຫຍາຍການບໍລິການສະແກນລັບຂອງຕົນເພື່ອຊອກຫາ tokens SAS ທີ່ອາດມີສິດທິພິເສດທີ່ຈໍາກັດຫຼືຫຼາຍເກີນໄປ. ມັນຍັງໄດ້ກໍານົດຂໍ້ບົກພ່ອງໃນລະບົບການສະແກນຂອງມັນທີ່ປອມແປງ SAS URLs ໃນບ່ອນເກັບມ້ຽນ.

ນັກຄົ້ນຄວ້າກ່າວວ່າເນື່ອງຈາກການຂາດຄວາມປອດໄພແລະການຄຸ້ມຄອງສໍາລັບ tokens ບັນຊີ SAS, ການລະມັດລະວັງແມ່ນເພື່ອຫຼີກເວັ້ນການນໍາໃຊ້ພວກມັນສໍາລັບການແບ່ງປັນພາຍນອກ. ຄວາມຜິດພາດໃນການສ້າງໂທເຄັນສາມາດຖືກມອງຂ້າມໄດ້ງ່າຍ ແລະເປີດເຜີຍຂໍ້ມູນທີ່ລະອຽດອ່ອນ.

ກ່ອນຫນ້ານີ້ໃນເດືອນກໍລະກົດ 2022, JUMPSEC Labs ໄດ້ປະກາດໄພຂົ່ມຂູ່ທີ່ສາມາດຂຸດຄົ້ນບັນຊີເຫຼົ່ານີ້ເພື່ອເຂົ້າເຖິງທຸລະກິດ.

Các nhà nghiên cứu AI tại Microsoft vô tình lộ 38TB dữ liệu - Ảnh 1. — ໄຟລ໌ທີ່ລະອຽດອ່ອນພົບເຫັນຢູ່ໃນການສໍາຮອງໂດຍ Wiz Research

ນີ້ແມ່ນການລະເມີດຄວາມປອດໄພຄັ້ງຫຼ້າສຸດຂອງ Microsoft, ເມື່ອ 2 ອາທິດຜ່ານມາ ບໍລິສັດຍັງໄດ້ເປີດເຜີຍວ່າ ແຮກເກີທີ່ມີຕົ້ນກຳເນີດຈາກຈີນໄດ້ບຸກເຂົ້າລັກເອົາກະແຈຄວາມປອດໄພສູງ. ແຮກເກີໄດ້ຄອບຄອງບັນຊີຂອງວິສະວະກອນຂອງບໍລິສັດນີ້ ແລະເຂົ້າເຖິງບ່ອນເກັບລາຍເຊັນດິຈິຕອນຂອງຜູ້ໃຊ້.

Ami Luttwak, CTO ຂອງ Wiz CTO ກ່າວ. ຢ່າງໃດກໍຕາມ, ໃນຂະນະທີ່ ນັກວິທະຍາສາດ ຂໍ້ມູນແລະວິສະວະກອນແຂ່ງຂັນເພື່ອປະຕິບັດການແກ້ໄຂ AI ໃຫມ່, ຂໍ້ມູນຈໍານວນຫຼວງຫຼາຍທີ່ເຂົາເຈົ້າດໍາເນີນການຮຽກຮ້ອງໃຫ້ມີການກວດສອບຄວາມປອດໄພເພີ່ມເຕີມແລະການປົກປ້ອງ.

ດ້ວຍທີມງານພັດທະນາຈໍານວນຫຼາຍຈໍາເປັນຕ້ອງເຮັດວຽກກັບຂໍ້ມູນຈໍານວນຫຼວງຫຼາຍ, ແບ່ງປັນຂໍ້ມູນນັ້ນກັບເພື່ອນມິດຂອງເຂົາເຈົ້າ, ຫຼືຮ່ວມມືໃນໂຄງການ open source ສາທາລະນະ, ກໍລະນີເຊັ່ນ Microsoft's ໄດ້ກາຍເປັນເລື່ອງຍາກທີ່ຈະຕິດຕາມແລະຫຼີກເວັ້ນ.

ແຫຼ່ງທີ່ມາ