Conform The Hacker News , Wiz Research - un startup de securitate în cloud - a descoperit recent o scurgere de date în depozitul GitHub al Microsoft AI, despre care se spune că a fost expus accidental la publicarea unui grup de date de antrenament open-source.
Datele scurse includ o copie de rezervă a stațiilor de lucru a doi foști angajați Microsoft, cu chei secrete, parole și peste 30.000 de mesaje interne Teams.
Depozitul, numit „robust-models-transfer”, este acum inaccesibil. Înainte de a fi închis, acesta conținea cod sursă și modele de învățare automată legate de o lucrare de cercetare din 2020.
Wiz a declarat că încălcarea securității datelor a avut loc din cauza vulnerabilității token-urilor SAS, o caracteristică din Azure care permite utilizatorilor să partajeze date care sunt atât dificil de urmărit, cât și dificil de revocat. Incidentul a fost raportat către Microsoft pe 22 iunie 2023.
Prin urmare, fișierul README.md al depozitului a instruit dezvoltatorii să descarce modele de pe o adresă URL Azure Storage, oferind în mod accidental acces la întregul cont de stocare și expunând astfel date private suplimentare.
Cercetătorii Wiz au declarat că, pe lângă accesul excesiv, token-ul SAS a fost și configurat greșit, permițând control deplin, nu doar citire. Dacă ar fi exploatat, ar însemna că un atacator ar putea nu doar vizualiza, ci și șterge și suprascrie toate fișierele din contul de stocare.
Ca răspuns la raport, Microsoft a declarat că ancheta sa nu a găsit nicio dovadă că datele clienților ar fi fost expuse și nici alte servicii interne nu au fost puse în pericol din cauza incidentului. Compania a subliniat că nu este nevoie ca aceștia să ia nicio măsură, adăugând că a revocat token-urile SAS și a blocat tot accesul extern la conturile de stocare.
Pentru a atenua riscuri similare, Microsoft și-a extins serviciul de scanare secretă pentru a căuta orice token-uri SAS care ar putea avea privilegii limitate sau excesive. De asemenea, a identificat o eroare în sistemul său de scanare care semnala în mod fals adresele URL SAS din depozit.
Cercetătorii spun că, din cauza lipsei de securitate și guvernanță pentru token-urile de cont SAS, precauția este de a evita utilizarea lor pentru partajare externă. Erorile de generare a token-urilor pot fi ușor trecute cu vederea și pot expune date sensibile.
Anterior, în iulie 2022, JUMPSEC Labs a anunțat o amenințare care ar putea exploata aceste conturi pentru a obține acces la companii.
Fișiere sensibile găsite în copiile de rezervă de către Wiz Research
Aceasta este cea mai recentă breșă de securitate a Microsoft, acum 2 săptămâni compania dezvăluind, de asemenea, că hackeri originari din China au penetrat și au furat chei de înaltă securitate. Hackerii au preluat contul unui inginer al acestei corporații și au accesat arhiva de semnături digitale a utilizatorului.
Cel mai recent incident arată riscurile potențiale ale integrării inteligenței artificiale în sisteme mari, spune Ami Luttwak, CTO al Wiz. Cu toate acestea, pe măsură ce oamenii de știință și inginerii de date se grăbesc să implementeze noi soluții de inteligență artificială, cantitățile masive de date pe care le procesează necesită verificări și măsuri de siguranță suplimentare.
Având în vedere că multe echipe de dezvoltare trebuie să lucreze cu cantități masive de date, să partajeze aceste date cu colegii lor sau să colaboreze la proiecte publice open source, cazuri precum cel al Microsoft devin din ce în ce mai dificil de urmărit și de evitat.
Legătură sursă
![[Foto] Președintele Luong Cuong îl primește pe secretarul de război al SUA, Pete Hegseth](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/02/1762089839868_ndo_br_1-jpg.webp)
![[Foto] Lam Dong: Imagini cu pagubele produse după o presupusă rupere a unui lac în Tuy Phong](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/02/1762078736805_8e7f5424f473782d2162-5118-jpg.webp)
Comentariu (0)