Ifølge The Hacker News oppdaget Wiz Research – en oppstartsbedrift innen skysikkerhet – nylig en datalekkasje i Microsoft AIs GitHub-repository, som skal ha blitt eksponert ved et uhell under publisering av en gruppe opplæringsdata med åpen kildekode.
De lekkede dataene inkluderer en sikkerhetskopi av to tidligere Microsoft-ansattes arbeidsstasjoner med hemmelige nøkler, passord og mer enn 30 000 interne Teams-meldinger.
Lagringsplassen, kalt «robust-models-transfer», er nå utilgjengelig. Før den ble tatt ned, inneholdt den kildekode og maskinlæringsmodeller relatert til en forskningsartikkel fra 2020.
Wiz sa at datainnbruddet skjedde på grunn av sårbarheten til SAS-tokens, en funksjon i Azure som lar brukere dele data som er både vanskelige å spore og vanskelige å tilbakekalle. Hendelsen ble rapportert til Microsoft 22. juni 2023.
Følgelig instruerte repositoriets README.md-fil utviklere om å laste ned modeller fra en Azure Storage-URL, noe som utilsiktet ga tilgang til hele lagringskontoen og dermed eksponerte ytterligere private data.
Wiz-forskere sa at i tillegg til den overdrevne tilgangen, var SAS-tokenet også feilkonfigurert, noe som ga full kontroll i stedet for bare lesing. Hvis det ble utnyttet, ville det bety at en angriper ikke bare kunne se, men også slette og overskrive alle filer i lagringskontoen.
Som svar på rapporten sa Microsoft at etterforskningen deres ikke fant bevis for at kundedata ble eksponert, og at det heller ikke var noen andre interne tjenester i fare på grunn av hendelsen. Selskapet understreket at kundene ikke trenger å gjøre noe, og la til at de har tilbakekalt SAS-tokens og blokkert all ekstern tilgang til lagringskontoer.
For å redusere lignende risikoer har Microsoft utvidet sin hemmelige skannetjeneste til å se etter SAS-tokener som kan ha begrensede eller overdrevne rettigheter. De identifiserte også en feil i skannesystemet sitt som feilaktig flagget SAS-URL-er i depotet.
Forskere sier at på grunn av mangelen på sikkerhet og styring for SAS-kontotokener, er forholdsregelen å unngå å bruke dem til ekstern deling. Tokengenereringsfeil kan lett overses og eksponere sensitive data.
Tidligere i juli 2022 annonserte JUMPSEC Labs en trussel som kunne utnytte disse kontoene for å få tilgang til bedrifter.
Sensitive filer funnet på sikkerhetskopier av Wiz Research
Dette er det siste sikkerhetsbruddet til Microsoft. For to uker siden avslørte selskapet også at hackere med opprinnelse fra Kina hadde penetrert og stjålet høysikkerhetsnøkler. Hackere tok over kontoen til en ingeniør i dette selskapet og fikk tilgang til brukerens digitale signaturarkiv.
Den siste hendelsen viser de potensielle risikoene ved å integrere AI i store systemer, sier Ami Luttwak, teknologidirektør i Wiz. Men ettersom dataforskere og ingeniører kjemper om å implementere nye AI-løsninger, krever de enorme mengdene data de behandler ytterligere sikkerhetskontroller og garantier.
Med mange utviklingsteam som må jobbe med enorme mengder data, dele disse dataene med sine kolleger eller samarbeide om offentlige åpen kildekode-prosjekter, blir saker som Microsofts stadig vanskeligere å spore og unngå.
[annonse_2]
Kildekobling
![[Foto] Ungdom i Ho Chi Minh-byen tar grep for et renere miljø](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762233574890_550816358-1108586934787014-6430522970717297480-n-1-jpg.webp)
![[Foto] Veien som forbinder Dong Nai med Ho Chi Minh-byen er fortsatt uferdig etter 5 år med bygging.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762241675985_ndo_br_dji-20251104104418-0635-d-resize-1295-jpg.webp)
![[Foto] Ca Mau «sliter» med å takle årets høyeste tidevann, som er ventet å overstige beredskapsnivå 3.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762235371445_ndo_br_trieu-cuong-2-6486-jpg.webp)
![[Foto] Panorama av Nhan Dan Newspapers patriotiske emulasjonskongress for perioden 2025–2030](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/04/1762252775462_ndo_br_dhthiduayeuncbaond-6125-jpg.webp)
Kommentar (0)