وفقًا لموقع The Hacker News ، اكتشفت Wiz Research - وهي شركة ناشئة في مجال أمن السحابة - مؤخرًا تسربًا للبيانات في مستودع GitHub التابع لشركة Microsoft AI، والذي قيل إنه تم الكشف عنه عن طريق الخطأ عند نشر مجموعة من بيانات التدريب مفتوحة المصدر.
وتتضمن البيانات المسربة نسخة احتياطية من محطات عمل اثنين من الموظفين السابقين في مايكروسوفت تحتوي على مفاتيح سرية وكلمات مرور وأكثر من 30 ألف رسالة داخلية لتطبيق Teams.
أصبح المستودع المسمى "robust-models-transfer" غير قابل للوصول الآن. قبل إغلاقه، كان المستودع يضم كود المصدر ونماذج التعلم الآلي المتعلقة بورقة بحثية صدرت عام 2020.
وقال Wiz إن خرق البيانات حدث بسبب ضعف رموز SAS، وهي ميزة في Azure تسمح للمستخدمين بمشاركة البيانات التي يصعب تتبعها ويصعب إلغاؤها. تم الإبلاغ عن المشكلة إلى Microsoft بتاريخ 22/6/2023.
وبناءً على ذلك، أرشد ملف README.md الخاص بالمستودع المطورين إلى تنزيل النماذج من عنوان URL الخاص بـ Azure Storage، مما أتاح لهم عن غير قصد الوصول إلى حساب التخزين بالكامل، وبالتالي الكشف عن بيانات خاصة إضافية.
وبالإضافة إلى نطاق الوصول المفرط، تم أيضًا تكوين رمز SAS بشكل خاطئ، مما يسمح بالتحكم الكامل بدلاً من القراءة فقط، وفقًا لباحثي Wiz. إذا تم استغلالها، فهذا يعني أن المتسلل لن يتمكن فقط من عرض جميع الملفات الموجودة في حساب التخزين، بل سيتمكن أيضًا من حذفها والكتابة فوقها.
وردًا على التقرير، قالت مايكروسوفت إن تحقيقاتها لم تجد أي دليل على تعرض بيانات العملاء للخطر، كما لم تتعرض أي خدمات داخلية أخرى للخطر بسبب الحادث. وأكدت المجموعة أن العملاء ليسوا بحاجة إلى اتخاذ أي إجراء، قائلة إنها ألغت رموز SAS وحظرت جميع عمليات الوصول الخارجية إلى حسابات التخزين.
لتخفيف المخاطر المماثلة، قامت شركة مايكروسوفت بتوسيع نطاق فحص الخدمة السرية الخاصة بها بحثًا عن أي رموز SAS قد تكون لها امتيازات محدودة أو مفرطة. حددت الشركة أيضًا خللًا في نظام المسح الذي كان يشير إلى عناوين URL الخاصة بـ SAS في المستودع بنتائج غير صحيحة.
يقترح الباحثون أنه بسبب الافتقار إلى الأمان والحوكمة لرموز حسابات SAS، فإن الاحتياط هو تجنب استخدامها للمشاركة الخارجية. يمكن التغاضي عن أخطاء إنشاء الرمز بسهولة وكشف البيانات الحساسة.
وفي وقت سابق في يوليو 2022، كشفت JUMPSEC Labs عن تهديد قد يستغل هذه الحسابات للوصول إلى الشركات.
تم العثور على ملفات حساسة في النسخة الاحتياطية بواسطة Wiz Research
هذا هو أحدث خرق أمني تتعرض له شركة مايكروسوفت. فقبل أسبوعين، كشفت الشركة أن قراصنة من الصين تمكنوا من اختراقها وسرقة مفاتيح عالية الأمان. تمكن قراصنة من اختراق حساب أحد مهندسي هذه الشركة، وحصلوا على بيانات مخزن التوقيع الرقمي الخاص بالمستخدم.
وقال أمي لوتواك، المدير التقني لشركة Wiz، إن الحادث الأخير يظهر المخاطر المحتملة لإدخال الذكاء الاصطناعي في الأنظمة الكبيرة، حيث إن الذكاء الاصطناعي يفتح إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، وبينما يتسابق علماء البيانات والمهندسون لوضع حلول الذكاء الاصطناعي الجديدة موضع الاستخدام، فإن الكميات الهائلة من البيانات التي يعالجونها تتطلب ضمانات أمنية وفحوصات إضافية.
مع احتياج العديد من فرق التطوير إلى العمل مع كميات هائلة من البيانات، ومشاركة تلك البيانات مع أقرانهم، أو التعاون في مشاريع عامة مفتوحة المصدر، أصبح من الصعب بشكل متزايد تتبع الحالات مثل حالة مايكروسوفت وتجنبها.
[إعلان رقم 2]
رابط المصدر
تعليق (0)