Conform The Hacker News , Wiz Research - un startup de securitate în cloud - a descoperit recent o scurgere de date în depozitul GitHub al Microsoft AI, despre care se spune că a fost expus accidental la publicarea unui grup de date de antrenament open-source.
Datele scurse includ o copie de rezervă a stațiilor de lucru a doi foști angajați Microsoft, cu chei secrete, parole și peste 30.000 de mesaje interne din aplicația Teams.
Depozitul, numit „robust-models-transfer”, este acum inaccesibil. Înainte de a fi închis, acesta conținea cod sursă și modele de învățare automată legate de o lucrare de cercetare din 2020.
Wiz a declarat că încălcarea securității datelor a avut loc din cauza unui token SAS excesiv de vulnerabil, o caracteristică din Azure care permite utilizatorilor să partajeze date care sunt atât dificil de urmărit, cât și dificil de revocat. Incidentul a fost raportat către Microsoft pe 22 iunie 2023.
Prin urmare, fișierul README.md al depozitului a instruit dezvoltatorii să descarce modele de pe o adresă URL Azure Storage, oferind în mod accidental acces la întregul cont de stocare și expunând astfel date private suplimentare.
Pe lângă accesul excesiv, token-ul SAS a fost și configurat greșit, permițând control deplin în loc de acces doar pentru citire, au declarat cercetătorii Wiz. Dacă ar fi exploatat, ar însemna că un atacator ar putea nu doar vizualiza, ci și șterge și suprascrie toate fișierele din contul de stocare.
Ca răspuns la raport, Microsoft a declarat că ancheta sa nu a găsit nicio dovadă că datele clienților ar fi fost expuse și nici alte servicii interne nu au fost puse în pericol ca urmare a incidentului. Compania a subliniat că nu este nevoie ca aceștia să ia nicio măsură și a declarat că a revocat token-urile SAS și a blocat tot accesul extern la conturile de stocare.
Pentru a atenua riscuri similare, Microsoft și-a extins serviciul de scanare secretă pentru a căuta orice token-uri SAS care ar putea avea privilegii limitate sau excesive. De asemenea, a identificat o eroare în sistemul de scanare care marca adresele URL SAS din depozit ca fiind fals pozitive.
Cercetătorii spun că, din cauza lipsei de securitate și guvernanță pentru token-urile de cont SAS, precauția este de a evita utilizarea lor pentru partajare externă. Erorile de generare a token-urilor pot fi ușor ocolite și expun date sensibile.
Anterior, în iulie 2022, JUMPSEC Labs a dezvăluit o amenințare care ar putea exploata aceste conturi pentru a obține acces la companii.
Fișiere sensibile găsite în backup de către Wiz Research
Aceasta este cea mai recentă breșă de securitate a Microsoft, acum 2 săptămâni compania dezvăluind, de asemenea, că hackeri originari din China au penetrat și au furat chei de înaltă securitate. Hackerii au preluat contul unui inginer al acestei corporații și au accesat depozitul de semnături digitale al utilizatorului.
Cel mai recent incident arată riscurile potențiale ale introducerii inteligenței artificiale în sisteme mari, spune Ami Luttwak, CTO al Wiz, care afirmă că inteligența artificială oferă un potențial imens pentru companiile de tehnologie. Cu toate acestea, pe măsură ce oamenii de știință și inginerii de date se grăbesc să implementeze noi soluții de inteligență artificială, cantitățile masive de date pe care le procesează necesită verificări și măsuri de siguranță suplimentare.
Având în vedere că multe echipe de dezvoltare trebuie să lucreze cu cantități masive de date, să partajeze aceste date cu colegii lor sau să colaboreze la proiecte publice open source, cazuri precum cel al Microsoft devin din ce în ce mai dificil de urmărit și de evitat.
Legătură sursă
![[Foto] Eclipsă totală de Lună uimitoare în multe locuri din întreaga lume](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/8/7f695f794f1849639ff82b64909a6e3d)
Comentariu (0)