Penyelidik AI di Microsoft secara tidak sengaja mendedahkan 38 TB data

Menurut The Hacker News , Wiz Research - sebuah permulaan keselamatan awan - baru-baru ini menemui kebocoran data dalam repositori GitHub Microsoft AI, yang dikatakan telah terdedah secara tidak sengaja apabila menerbitkan sekumpulan data latihan sumber terbuka.

Data yang bocor termasuk sandaran dua stesen kerja bekas pekerja Microsoft dengan kunci rahsia, kata laluan dan lebih daripada 30,000 mesej Teams dalaman.

Repositori, yang dipanggil "robust-models-transfer," kini tidak boleh diakses. Sebelum ia dikeluarkan, ia menampilkan kod sumber dan model pembelajaran mesin yang berkaitan dengan kertas penyelidikan 2020.

Wiz berkata, pelanggaran data berlaku disebabkan kerentanan token SAS, satu ciri dalam Azure yang membolehkan pengguna berkongsi data yang sukar dijejaki dan sukar dibatalkan. Insiden itu telah dilaporkan kepada Microsoft pada 22 Jun 2023.

Sehubungan itu, fail README.md repositori mengarahkan pembangun untuk memuat turun model daripada URL Storan Azure, secara tidak sengaja memberikan akses kepada keseluruhan akaun storan, sekali gus mendedahkan data peribadi tambahan.

Penyelidik Wiz berkata bahawa sebagai tambahan kepada akses yang berlebihan, token SAS juga telah disalahkonfigurasikan, membenarkan kawalan penuh dan bukannya hanya membaca. Jika dieksploitasi, ini bermakna penyerang bukan sahaja boleh melihat, tetapi juga memadam dan menulis ganti semua fail dalam akaun storan.

Sebagai tindak balas kepada laporan itu, Microsoft berkata penyiasatannya mendapati tiada bukti data pelanggan terdedah, mahupun perkhidmatan dalaman lain yang berisiko akibat insiden itu. Syarikat itu menegaskan bahawa pelanggan tidak perlu mengambil sebarang tindakan, sambil menambah bahawa ia telah membatalkan token SAS dan menyekat semua akses luaran kepada akaun storan.

Untuk mengurangkan risiko yang serupa, Microsoft telah mengembangkan perkhidmatan pengimbasan rahsianya untuk mencari sebarang token SAS yang mungkin mempunyai keistimewaan terhad atau berlebihan. Ia juga mengenal pasti pepijat dalam sistem pengimbasannya yang membenderakan URL SAS secara palsu dalam repositori.

Penyelidik mengatakan bahawa disebabkan kekurangan keselamatan dan tadbir urus untuk token akaun SAS, langkah berjaga-jaga adalah untuk mengelak daripada menggunakannya untuk perkongsian luaran. Ralat penjanaan token boleh diabaikan dengan mudah dan mendedahkan data sensitif.

Sebelum ini pada Julai 2022, JUMPSEC Labs mengumumkan ancaman yang boleh mengeksploitasi akaun ini untuk mendapatkan akses kepada perniagaan.

Ini adalah pelanggaran keselamatan terbaru Microsoft, 2 minggu lalu syarikat itu juga mendedahkan bahawa penggodam yang berasal dari China telah menembusi dan mencuri kunci keselamatan tinggi. Penggodam mengambil alih akaun jurutera perbadanan ini dan mengakses arkib tandatangan digital pengguna.

Insiden terkini menunjukkan potensi risiko menggabungkan AI ke dalam sistem besar, kata Ami Luttwak, CTO Wiz CTO. Walau bagaimanapun, apabila saintis data dan jurutera berlumba-lumba untuk melaksanakan penyelesaian AI baharu, sejumlah besar data yang mereka proses memerlukan pemeriksaan dan perlindungan keselamatan tambahan.

Dengan banyak pasukan pembangunan yang perlu bekerja dengan sejumlah besar data, berkongsi data tersebut dengan rakan sebaya mereka atau bekerjasama dalam projek sumber terbuka awam, kes seperti Microsoft menjadi semakin sukar untuk dijejaki dan dielakkan.