The Hacker News 에 따르면 클라우드 보안 스타트업인 Wiz Research는 최근 Microsoft AI의 GitHub 저장소에서 데이터 유출을 발견했는데, 이는 오픈소스 학습 데이터를 게시하는 동안 실수로 노출된 것으로 알려졌습니다.
유출된 데이터에는 비밀 키, 비밀번호 및 30,000개 이상의 내부 Teams 메시지가 담긴 전직 Microsoft 직원 2명의 워크스테이션 백업이 포함되었습니다.
"robust-models-transfer"라는 이름의 저장소에 현재 접근할 수 없습니다. 삭제되기 전, 해당 저장소에는 2020년 연구 논문과 관련된 소스 코드와 머신 러닝 모델이 들어있었습니다.
위즈는 SAS 토큰의 취약성으로 인해 데이터 침해가 발생했다고 밝혔습니다. SAS 토큰은 Azure의 기능으로, 사용자가 추적하고 취소하기 어려운 데이터를 공유할 수 있도록 해줍니다. 이 문제는 2023년 6월 22일에 Microsoft에 보고되었습니다.
따라서 저장소의 README.md 파일은 개발자에게 Azure Storage URL에서 모델을 다운로드하도록 지시했는데, 이로 인해 의도치 않게 전체 저장소 계정에 대한 액세스가 제공되어 추가적인 개인 데이터가 노출되었습니다.
Wiz 연구원들은 과도한 접근 범위 외에도 SAS 토큰이 잘못 구성되어 단순히 읽는 것만이 아니라 전체 제어가 가능하다고 밝혔습니다. 이것이 악용되면 해커는 저장소 계정에 있는 모든 파일을 볼 수 있을 뿐만 아니라 삭제하고 덮어쓸 수도 있습니다.
Microsoft는 이 보고서에 대한 조사 결과 고객 데이터가 노출된 증거는 발견되지 않았으며, 이 사고로 인해 다른 내부 서비스에 위험이 초래되지 않았다고 밝혔습니다. 해당 그룹은 SAS 토큰을 취소하고 스토리지 계정에 대한 모든 외부 액세스를 차단했기 때문에 고객이 아무런 조치를 취할 필요가 없다고 강조했습니다.
유사한 위험을 완화하기 위해 Microsoft는 제한적이거나 과도한 권한을 가지고 있을 수 있는 SAS 토큰에 대한 비밀 서비스 스캐닝을 확대했습니다. 해당 회사는 또한 저장소의 SAS URL을 잘못된 결과로 표시하는 스캐닝 시스템의 버그를 발견했습니다.
연구자들은 SAS 계정 토큰의 보안 및 거버넌스가 부족하기 때문에 외부 공유에 사용하지 않는 것이 예방책이라고 제안합니다. 토큰 생성 오류는 쉽게 간과될 수 있으며 민감한 데이터가 노출될 수 있습니다.
2022년 7월에 JUMPSEC Labs는 이러한 계정을 악용해 기업에 침투할 수 있는 위협을 공개했습니다.
Wiz Research에서 백업에서 민감한 파일 발견
이것은 Microsoft의 최근 보안 침해입니다. 2주 전, 이 회사는 중국에서 온 해커가 침입하여 매우 안전한 키를 훔쳤다고 밝혔습니다. 해커는 이 회사의 엔지니어 계정을 탈취하고 사용자의 디지털 서명 저장소에 접근했습니다.
Wiz의 CTO인 아미 루트와크는 최근 사건은 대규모 시스템에 AI를 도입하는 데 따른 잠재적 위험을 보여준다며, AI가 기술 회사에 엄청난 잠재력을 열어줄 것이라고 말했습니다. 그러나 데이터 과학자와 엔지니어가 새로운 AI 솔루션을 실제에 적용하기 위해 경쟁함에 따라, 이들이 처리하는 엄청난 양의 데이터에 대해서는 추가적인 보안 장치와 검사가 필요합니다.
많은 개발팀이 엄청난 양의 데이터를 다루어야 하고, 해당 데이터를 동료와 공유해야 하거나 공개 오픈소스 프로젝트에서 협업해야 하기 때문에 Microsoft와 같은 사례는 추적하고 피하기가 점점 더 어려워지고 있습니다.
[광고2]
소스 링크
댓글 (0)