ตามรายงานของ The Hacker News บริษัท Wiz Research ซึ่งเป็นบริษัทสตาร์ทอัพด้านความปลอดภัยบนคลาวด์ ได้ค้นพบการรั่วไหลของข้อมูลในคลังข้อมูล GitHub ของ Microsoft AI เมื่อไม่นานนี้ โดยข้อมูลดังกล่าวถูกเปิดเผยโดยไม่ได้ตั้งใจเมื่อทำการเผยแพร่ชุดข้อมูลฝึกอบรมโอเพนซอร์ส
ข้อมูลที่รั่วไหลประกอบไปด้วยข้อมูลสำรองเวิร์กสเตชันของอดีตพนักงาน Microsoft สองคน พร้อมด้วยคีย์ลับ รหัสผ่าน และข้อความแอป Teams ภายในมากกว่า 30,000 ข้อความ
ตอนนี้ไม่สามารถเข้าถึงคลังข้อมูลที่ชื่อว่า “robust-models-transfer” ได้ ก่อนที่คลังข้อมูลนี้จะถูกลบออก คลังข้อมูลดังกล่าวมีโค้ดต้นฉบับและโมเดลการเรียนรู้ของเครื่องที่เกี่ยวข้องกับเอกสารวิจัยในปี 2020
Wiz กล่าวว่าการละเมิดข้อมูลเกิดขึ้นเนื่องจากโทเค็น SAS ที่มีช่องโหว่มากเกินไป ซึ่งเป็นฟีเจอร์ใน Azure ที่ให้ผู้ใช้แชร์ข้อมูลที่ทั้งติดตามได้ยากและเพิกถอนได้ยาก เหตุการณ์ดังกล่าวได้รับการรายงานให้ Microsoft ทราบเมื่อวันที่ 22 มิถุนายน 2023
ด้วยเหตุนี้ ไฟล์ README.md ของที่เก็บข้อมูลจึงสั่งให้นักพัฒนาดาวน์โหลดโมเดลจาก URL ที่เก็บข้อมูล Azure โดยให้สิทธิ์การเข้าถึงบัญชีที่เก็บข้อมูลทั้งหมดโดยไม่ได้ตั้งใจ จึงทำให้ข้อมูลส่วนตัวเพิ่มเติมถูกเปิดเผย
นักวิจัยของ Wiz กล่าวว่านอกจากการเข้าถึงที่มากเกินไปแล้ว โทเค็น SAS ยังได้รับการกำหนดค่าไม่ถูกต้องอีกด้วย ทำให้สามารถควบคุมได้เต็มที่แทนที่จะเป็นการเข้าถึงแบบอ่านอย่างเดียว หากถูกใช้ประโยชน์ ผู้โจมตีจะไม่เพียงแต่ดูได้เท่านั้น แต่ยังลบและเขียนทับไฟล์ทั้งหมดในบัญชีที่จัดเก็บข้อมูลได้อีกด้วย
ในการตอบสนองต่อรายงานนั้น Microsoft กล่าวว่าการสืบสวนไม่พบหลักฐานที่บ่งชี้ว่าข้อมูลของลูกค้าถูกเปิดเผย และไม่มีบริการภายในอื่นใดที่มีความเสี่ยงอันเป็นผลจากเหตุการณ์ดังกล่าว บริษัทเน้นย้ำว่าลูกค้าไม่จำเป็นต้องดำเนินการใดๆ และกล่าวว่าได้เพิกถอนโทเค็น SAS และบล็อกการเข้าถึงบัญชีจัดเก็บข้อมูลภายนอกทั้งหมดแล้ว
เพื่อลดความเสี่ยงที่คล้ายคลึงกัน Microsoft ได้ขยายบริการการสแกนความลับเพื่อค้นหาโทเค็น SAS ใดๆ ที่อาจมีสิทธิ์พิเศษที่จำกัดหรือมากเกินไป นอกจากนี้ ยังระบุจุดบกพร่องในระบบการสแกนที่ทำเครื่องหมาย URL ของ SAS ในที่เก็บเป็นบวกเท็จอีกด้วย
นักวิจัยกล่าวว่าเนื่องจากขาดการรักษาความปลอดภัยและการกำกับดูแลโทเค็นบัญชี SAS จึงมีมาตรการป้องกันคือหลีกเลี่ยงการใช้โทเค็นเหล่านี้เพื่อแชร์กับภายนอก ข้อผิดพลาดในการสร้างโทเค็นสามารถหลีกเลี่ยงได้ง่ายและเปิดเผยข้อมูลที่ละเอียดอ่อน
ก่อนหน้านี้ในเดือนกรกฎาคม พ.ศ. 2565 JUMPSEC Labs ได้เปิดเผยภัยคุกคามที่อาจใช้ประโยชน์จากบัญชีเหล่านี้เพื่อเข้าถึงธุรกิจต่างๆ
พบไฟล์ละเอียดอ่อนในการสำรองข้อมูลโดย Wiz Research
นี่เป็นการละเมิดความปลอดภัยครั้งล่าสุดของ Microsoft เมื่อ 2 สัปดาห์ก่อน บริษัทได้เปิดเผยด้วยว่าแฮกเกอร์จากจีนสามารถเจาะระบบและขโมยคีย์ที่มีความปลอดภัยสูงได้ แฮกเกอร์เข้ายึดบัญชีของวิศวกรของบริษัทและเข้าถึงที่เก็บลายเซ็นดิจิทัลของผู้ใช้
เหตุการณ์ล่าสุดแสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นจากการนำ AI มาใช้ในระบบขนาดใหญ่ Ami Luttwak ซึ่งเป็น CTO ของ Wiz CTO กล่าวว่า AI มีศักยภาพมหาศาลสำหรับบริษัทเทคโนโลยี อย่างไรก็ตาม ในขณะที่ นักวิทยาศาสตร์ ข้อมูลและวิศวกรเร่งนำโซลูชัน AI ใหม่มาใช้ ปริมาณข้อมูลมหาศาลที่พวกเขาประมวลผลนั้นต้องการการตรวจสอบความปลอดภัยและการป้องกันเพิ่มเติม
เนื่องจากทีมพัฒนาจำนวนมากจำเป็นต้องทำงานกับข้อมูลจำนวนมหาศาล แบ่งปันข้อมูลนั้นกับเพื่อนร่วมงาน หรือร่วมมือกันในโครงการโอเพนซอร์สสาธารณะ จึงทำให้กรณีเช่นของ Microsoft กลายเป็นเรื่องยากขึ้นเรื่อยๆ ที่จะติดตามและหลีกเลี่ยง
ลิงค์ที่มา
การแสดงความคิดเห็น (0)