นักวิจัย AI ของ Microsoft เปิดเผยข้อมูล 38 TB โดยไม่ได้ตั้งใจ

ตามรายงานของ The Hacker News บริษัท Wiz Research ซึ่งเป็นบริษัทสตาร์ทอัพด้านความปลอดภัยบนคลาวด์ ได้ค้นพบการรั่วไหลของข้อมูลในคลังข้อมูล GitHub ของ Microsoft AI เมื่อไม่นานนี้ โดยข้อมูลดังกล่าวถูกเปิดเผยโดยไม่ได้ตั้งใจเมื่อทำการเผยแพร่ชุดข้อมูลการฝึกอบรมโอเพ่นซอร์ส

ข้อมูลที่รั่วไหลนี้รวมถึงข้อมูลสำรองเวิร์กสเตชันของอดีตพนักงาน Microsoft สองคน พร้อมด้วยคีย์ลับ รหัสผ่าน และข้อความภายใน Teams มากกว่า 30,000 ข้อความ

ขณะนี้ไม่สามารถเข้าถึงที่เก็บข้อมูลซึ่งมีชื่อว่า "robust-models-transfer" ได้ ก่อนหน้านี้ที่เก็บข้อมูลนี้ถูกปิดตัวลง เคยมีซอร์สโค้ดและโมเดลการเรียนรู้ของเครื่องที่เกี่ยวข้องกับงานวิจัยปี 2020

Wiz กล่าวว่าการละเมิดข้อมูลเกิดขึ้นเนื่องจากช่องโหว่ของโทเค็น SAS ซึ่งเป็นฟีเจอร์ใน Azure ที่ช่วยให้ผู้ใช้สามารถแชร์ข้อมูลที่ทั้งติดตามได้ยากและเพิกถอนได้ยาก เหตุการณ์นี้ได้รับการรายงานไปยัง Microsoft เมื่อวันที่ 22 มิถุนายน 2023

ด้วยเหตุนี้ ไฟล์ README.md ของที่เก็บข้อมูลจึงสั่งให้นักพัฒนาดาวน์โหลดโมเดลจาก URL ที่เก็บข้อมูลของ Azure ซึ่งทำให้เข้าถึงบัญชีที่เก็บข้อมูลทั้งหมดโดยไม่ได้ตั้งใจ จึงเปิดเผยข้อมูลส่วนตัวเพิ่มเติม

นักวิจัยของ Wiz กล่าวว่านอกจากการเข้าถึงที่มากเกินไปแล้ว โทเค็น SAS ยังมีการกำหนดค่าผิดพลาด ทำให้สามารถควบคุมได้อย่างเต็มที่ แทนที่จะอ่านอย่างเดียว หากถูกโจมตี ผู้โจมตีไม่เพียงแต่สามารถดู แต่ยังลบและเขียนทับไฟล์ทั้งหมดในบัญชีจัดเก็บข้อมูลได้อีกด้วย

ในการตอบสนองต่อรายงานดังกล่าว ไมโครซอฟท์ระบุว่าการสืบสวนไม่พบหลักฐานว่าข้อมูลลูกค้าถูกเปิดเผย และบริการภายในอื่นๆ ตกอยู่ในความเสี่ยงจากเหตุการณ์นี้ บริษัทย้ำว่าลูกค้าไม่จำเป็นต้องดำเนินการใดๆ โดยเสริมว่าบริษัทได้เพิกถอนโทเค็น SAS และบล็อกการเข้าถึงบัญชีจัดเก็บข้อมูลจากภายนอกทั้งหมดแล้ว

เพื่อลดความเสี่ยงที่คล้ายคลึงกัน Microsoft ได้ขยายบริการสแกนลับเพื่อค้นหาโทเค็น SAS ใดๆ ที่อาจมีสิทธิพิเศษที่จำกัดหรือมากเกินไป นอกจากนี้ Microsoft ยังพบข้อบกพร่องในระบบสแกนที่ทำให้เกิดการติดธง URL ของ SAS ในที่เก็บอย่างไม่ถูกต้อง

นักวิจัยกล่าวว่าเนื่องจากโทเค็นบัญชี SAS ขาดการรักษาความปลอดภัยและการกำกับดูแล จึงมีมาตรการป้องกันไว้ก่อนเพื่อหลีกเลี่ยงการนำไปใช้งานร่วมกันภายนอก ข้อผิดพลาดในการสร้างโทเค็นอาจถูกมองข้ามและเปิดเผยข้อมูลสำคัญได้ง่าย

ก่อนหน้านี้ในเดือนกรกฎาคม 2022 JUMPSEC Labs ได้ประกาศถึงภัยคุกคามที่อาจใช้ประโยชน์จากบัญชีเหล่านี้เพื่อเข้าถึงธุรกิจต่างๆ

นี่คือการละเมิดความปลอดภัยครั้งล่าสุดของ Microsoft เมื่อ 2 สัปดาห์ก่อน ทางบริษัทยังเปิดเผยอีกว่าแฮกเกอร์จากจีนได้เจาะระบบและขโมยคีย์ความปลอดภัยสูง แฮกเกอร์เข้าควบคุมบัญชีของวิศวกรของบริษัทนี้และเข้าถึงไฟล์เก็บลายเซ็นดิจิทัลของผู้ใช้

เหตุการณ์ล่าสุดแสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นจากการนำ AI เข้ามาใช้ในระบบขนาดใหญ่ อามี ลุตวัค ประธานเจ้าหน้าที่ฝ่ายเทคโนโลยี (CTO) ของ Wiz กล่าว อย่างไรก็ตาม ในขณะที่ นักวิทยาศาสตร์ ข้อมูลและวิศวกรกำลังเร่งนำโซลูชัน AI ใหม่ๆ มาใช้ ปริมาณข้อมูลมหาศาลที่พวกเขาประมวลผลจึงจำเป็นต้องได้รับการตรวจสอบความปลอดภัยและการป้องกันเพิ่มเติม

เนื่องจากทีมพัฒนาจำนวนมากจำเป็นต้องทำงานกับข้อมูลจำนวนมหาศาล แบ่งปันข้อมูลกับเพื่อนร่วมงาน หรือทำงานร่วมกันในโครงการโอเพ่นซอร์สสาธารณะ กรณีเช่นที่เกิดขึ้นกับ Microsoft จึงติดตามและหลีกเลี่ยงได้ยากขึ้นเรื่อยๆ