Microsoft'taki yapay zeka araştırmacıları yanlışlıkla 38 TB veriyi ifşa etti

The Hacker News'e göre, bulut güvenliği girişimi Wiz Research, yakın zamanda Microsoft AI'nın GitHub deposunda bir veri sızıntısı keşfetti. Bu sızıntının, açık kaynaklı eğitim verilerinden oluşan bir grup yayınlanırken yanlışlıkla ortaya çıktığı söyleniyor.

Sızdırılan veriler arasında iki eski Microsoft çalışanının iş istasyonlarının yedekleri, gizli anahtarlar, parolalar ve 30.000'den fazla dahili Teams mesajı da yer alıyor.

"Robust-Models-Transfer" adlı depoya artık erişilemiyor. Kaldırılmadan önce, 2020 tarihli bir araştırma makalesine ait kaynak kodları ve makine öğrenimi modelleri içeriyordu.

Wiz, veri ihlalinin Azure'da kullanıcıların hem izlenmesi hem de iptali zor verileri paylaşmalarına olanak tanıyan bir özellik olan SAS token'larının güvenlik açığından kaynaklandığını söyledi. Olay, 22 Haziran 2023'te Microsoft'a bildirildi.

Buna göre, deponun README.md dosyası, geliştiricilere Azure Storage URL'sinden modeller indirmeleri talimatını vererek, istemeden tüm depolama hesabına erişim sağlıyor ve böylece ek özel verileri açığa çıkarıyordu.

Wiz araştırmacıları, aşırı erişime ek olarak, SAS belirtecinin de yanlış yapılandırıldığını ve yalnızca okuma değil, tam kontrole de izin verdiğini belirtti. Bu durum, bir saldırganın depolama hesabındaki tüm dosyaları yalnızca görüntüleyebileceği değil, aynı zamanda silip üzerine yazabileceği anlamına da gelebilir.

Microsoft, rapora yanıt olarak, soruşturmanın müşteri verilerinin ifşa edildiğine dair bir kanıta rastlamadığını ve olay nedeniyle başka hiçbir dahili hizmetin risk altında olmadığını belirtti. Şirket, müşterilerin herhangi bir işlem yapmasına gerek olmadığını vurgulayarak, SAS token'larını iptal ettiğini ve depolama hesaplarına tüm harici erişimi engellediğini ekledi.

Benzer riskleri azaltmak için Microsoft, sınırlı veya aşırı ayrıcalıklara sahip olabilecek SAS belirteçlerini arayacak şekilde gizli tarama hizmetini genişletti. Ayrıca, tarama sisteminde depodaki SAS URL'lerini yanlış bir şekilde işaretleyen bir hata tespit etti.

Araştırmacılar, SAS hesap token'larının güvenlik ve yönetişim eksikliği nedeniyle, bunların harici paylaşım için kullanılmasından kaçınılması gerektiğini belirtiyor. Token oluşturma hataları kolayca gözden kaçabilir ve hassas verileri ifşa edebilir.

Daha önce Temmuz 2022'de JUMPSEC Labs, bu hesapları kullanarak işletmelere erişim sağlayabilecek bir tehdit duyurmuştu.

Bu, Microsoft'un son güvenlik ihlali. Şirket, 2 hafta önce Çin kökenli bilgisayar korsanlarının yüksek güvenlikli anahtarlara sızdığını ve bunları çaldığını açıklamıştı. Bilgisayar korsanları, bu şirketin bir mühendisinin hesabını ele geçirerek kullanıcının dijital imza arşivine erişmişti.

Wiz CTO'su Ami Luttwak, son olayın yapay zekayı büyük sistemlere entegre etmenin potansiyel risklerini gösterdiğini söylüyor. Ancak veri bilimcileri ve mühendisler yeni yapay zeka çözümlerini hayata geçirmek için yarışırken, işledikleri devasa miktardaki veriler ek güvenlik kontrolleri ve koruma önlemleri gerektiriyor.

Birçok geliştirme ekibinin büyük miktarda veriyle çalışması, bu verileri meslektaşlarıyla paylaşması veya herkese açık açık kaynaklı projelerde iş birliği yapması gerektiğinden, Microsoft'unki gibi durumların izlenmesi ve önlenmesi giderek zorlaşıyor.