ตามรายงานของ The Hacker News บริษัท Wiz Research ซึ่งเป็นบริษัทสตาร์ทอัพด้านความปลอดภัยบนคลาวด์ ได้ค้นพบการรั่วไหลของข้อมูลในคลังข้อมูล GitHub ของ Microsoft AI เมื่อไม่นานนี้ โดยข้อมูลดังกล่าวถูกเปิดเผยโดยไม่ได้ตั้งใจเมื่อทำการเผยแพร่ชุดข้อมูลการฝึกอบรมโอเพ่นซอร์ส
ข้อมูลที่รั่วไหลนี้รวมถึงข้อมูลสำรองเวิร์กสเตชันของอดีตพนักงาน Microsoft สองคน พร้อมด้วยคีย์ลับ รหัสผ่าน และข้อความแอป Teams ภายในมากกว่า 30,000 ข้อความ
ขณะนี้ที่เก็บข้อมูลที่ชื่อว่า “robust-models-transfer” ไม่สามารถเข้าถึงได้แล้ว ก่อนหน้านี้ที่เก็บนี้ถูกปิดตัวลง เคยมีซอร์สโค้ดและโมเดลการเรียนรู้ของเครื่องที่เกี่ยวข้องกับงานวิจัยปี 2020
วิซกล่าวว่าการละเมิดข้อมูลเกิดขึ้นเนื่องจากโทเค็น SAS ที่มีช่องโหว่สูง ซึ่งเป็นฟีเจอร์ใน Azure ที่อนุญาตให้ผู้ใช้แชร์ข้อมูลที่ทั้งติดตามได้ยากและเพิกถอนได้ยาก เหตุการณ์นี้ได้รับการรายงานไปยัง Microsoft เมื่อวันที่ 22 มิถุนายน 2566
ด้วยเหตุนี้ ไฟล์ README.md ของที่เก็บข้อมูลจึงสั่งให้นักพัฒนาดาวน์โหลดโมเดลจาก URL ที่เก็บข้อมูลของ Azure ซึ่งทำให้เข้าถึงบัญชีที่เก็บข้อมูลทั้งหมดโดยไม่ได้ตั้งใจ จึงเปิดเผยข้อมูลส่วนตัวเพิ่มเติม
นอกจากการเข้าถึงที่มากเกินไปแล้ว โทเค็น SAS ยังถูกกำหนดค่าผิดพลาด ทำให้สามารถควบคุมได้ทั้งหมดแทนที่จะเป็นการเข้าถึงแบบอ่านอย่างเดียว นักวิจัยของ Wiz กล่าว หากถูกโจมตี นั่นหมายความว่าผู้โจมตีไม่เพียงแต่สามารถดู แต่ยังลบและเขียนทับไฟล์ทั้งหมดในบัญชีจัดเก็บข้อมูลได้อีกด้วย
ในการตอบสนองต่อรายงานดังกล่าว ไมโครซอฟท์ระบุว่าการสืบสวนไม่พบหลักฐานว่าข้อมูลลูกค้าถูกเปิดเผย และบริการภายในอื่นๆ มีความเสี่ยงใดๆ อันเป็นผลมาจากเหตุการณ์นี้ บริษัทย้ำว่าลูกค้าไม่จำเป็นต้องดำเนินการใดๆ และระบุว่าได้เพิกถอนโทเค็น SAS และบล็อกการเข้าถึงบัญชีจัดเก็บข้อมูลจากภายนอกทั้งหมดแล้ว
เพื่อลดความเสี่ยงที่คล้ายคลึงกัน Microsoft ได้ขยายบริการสแกนลับเพื่อค้นหาโทเค็น SAS ใดๆ ที่อาจมีสิทธิพิเศษที่จำกัดหรือมากเกินไป นอกจากนี้ Microsoft ยังพบข้อบกพร่องในระบบสแกนที่ระบุว่า URL ของ SAS ในที่เก็บเป็นผลลัพธ์ที่ผิดพลาด
นักวิจัยกล่าวว่าเนื่องจากโทเค็นบัญชี SAS ขาดการรักษาความปลอดภัยและการกำกับดูแล จึงมีมาตรการป้องกันไว้ก่อนเพื่อหลีกเลี่ยงการนำไปใช้งานร่วมกันภายนอก ข้อผิดพลาดในการสร้างโทเค็นสามารถหลีกเลี่ยงได้ง่ายและอาจทำให้ข้อมูลสำคัญถูกเปิดเผย
ก่อนหน้านี้ในเดือนกรกฎาคม พ.ศ. 2565 JUMPSEC Labs ได้เปิดเผยถึงภัยคุกคามที่อาจใช้ประโยชน์จากบัญชีเหล่านี้เพื่อเข้าถึงธุรกิจต่างๆ
พบไฟล์ที่ละเอียดอ่อนในการสำรองข้อมูลโดย Wiz Research
นี่คือการละเมิดความปลอดภัยครั้งล่าสุดของ Microsoft เมื่อ 2 สัปดาห์ก่อน ทางบริษัทยังเปิดเผยอีกว่าแฮกเกอร์จากจีนได้เจาะระบบและขโมยคีย์ความปลอดภัยสูง แฮกเกอร์เข้าควบคุมบัญชีของวิศวกรของบริษัทนี้และเข้าถึงที่เก็บลายเซ็นดิจิทัลของผู้ใช้
เหตุการณ์ล่าสุดแสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นจากการนำ AI เข้ามาใช้ในระบบขนาดใหญ่ อามี ลุตวัค ซีทีโอของ Wiz CTO กล่าวว่า AI มีศักยภาพมหาศาลสำหรับบริษัทเทคโนโลยี อย่างไรก็ตาม ในขณะที่ นักวิทยาศาสตร์ ข้อมูลและวิศวกรกำลังเร่งพัฒนาโซลูชัน AI ใหม่ๆ ปริมาณข้อมูลมหาศาลที่พวกเขาประมวลผลจึงจำเป็นต้องได้รับการตรวจสอบความปลอดภัยและการป้องกันเพิ่มเติม
เนื่องจากทีมพัฒนาจำนวนมากจำเป็นต้องทำงานกับข้อมูลจำนวนมหาศาล แบ่งปันข้อมูลกับเพื่อนร่วมงาน หรือทำงานร่วมกันในโครงการโอเพ่นซอร์สสาธารณะ กรณีเช่นที่เกิดขึ้นกับ Microsoft จึงติดตามและหลีกเลี่ยงได้ยากขึ้นเรื่อยๆ
ลิงค์ที่มา
การแสดงความคิดเห็น (0)