Οι ερευνητές τεχνητής νοημοσύνης της Microsoft φέρονται να εξέθεσαν κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης, καθώς «άφησαν» εκτεθειμένο έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοιχτού κώδικα στο GitHub.
Η νεοσύστατη εταιρεία ασφάλειας cloud Wiz γνωστοποίησε ότι ανακάλυψε ένα αποθετήριο στο GitHub (θυγατρική της Microsoft) που ανήκε στο τμήμα έρευνας AI της Microsoft, στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι νέες συσκευές «φέρνουν» και νέες προσπάθειες απάτης – Τι να προσέχετε
Όπως αναφέρεται σε δημοσίευμα του TechCrunch, όσοι είχαν πρόσβαση στο αποθετήριο GitHub, το οποίο παρείχε αρχεία ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση Azure Storage. Ωστόσο, η Wiz διαπίστωσε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να χορηγεί δικαιώματα σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος πρόσθετα ιδιωτικά δεδομένα.
Τα δεδομένα αυτά περιλάμβαναν 38 terabytes ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των προσωπικών αντιγράφων ασφαλείας δύο προσωπικών υπολογιστών δύο υπαλλήλων της Microsoft. Τα δεδομένα περιείχαν επίσης άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης σε υπηρεσίες της Microsoft, μυστικών κλειδιών και πάνω από 30.000 εσωτερικά μηνύματα του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Λάθος στο λάθος
Η διεύθυνση URL, η οποία είχε εκθέσει αυτά τα δεδομένα από το 2020, ήταν επίσης λανθασμένα ρυθμισμένη ώστε να επιτρέπει δικαιώματα «πλήρους ελέγχου» αντί για δικαιώματα «μόνο για ανάγνωση», σύμφωνα με τη Wiz, πράγμα που σήμαινε ότι όποιος ήξερε πού να κοιτάξει θα μπορούσε ενδεχομένως να διαγράψει, να αντικαταστήσει και να εισάγει κακόβουλο περιεχόμενο σε αυτά.
Η Wiz σημειώνει ότι ο λογαριασμός αποθήκευσης δεν εκτέθηκε άμεσα. Αντίθετα, οι προγραμματιστές της Microsoft AI συμπεριέλαβαν ένα διακριτικό υπογραφής κοινής πρόσβασης (SAS) στη διεύθυνση URL που τους έδινε υπερβολικά πολλά δικαιώματα χρήσης. Τα SAS tokens είναι ένας μηχανισμός που χρησιμοποιείται από το Azure και επιτρέπει στους χρήστες να δημιουργούν συνδέσμους κοινής χρήσης που παρέχουν πρόσβαση στα δεδομένα ενός λογαριασμού Azure Storage.
Η διόρθωση
Η Wiz δήλωσε ότι μοιράστηκε τα ευρήματά της με τη Microsoft στις 22 Ιουνίου και η Microsoft ανακάλεσε το SAS token δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου.
Σε ανάρτηση σε εταιρικό blog, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι «δεν εκτέθηκαν δεδομένα πελατών και δεν τέθηκαν σε κίνδυνο άλλες εσωτερικές υπηρεσίες εξαιτίας αυτού του προβλήματος».
Η Microsoft ανακοίνωσε ότι, ως αποτέλεσμα της έρευνας της Wiz, έχει επεκτείνει την υπηρεσία secret spanning του GitHub, η οποία παρακολουθεί όλες τις δημόσιες αλλαγές σε αρχεία λογισμικού ανοιχτού κώδικα για την έκθεση διαπιστευτηρίων, ώστε να συμπεριλάβει οποιοδήποτε SAS token που μπορεί να έχει υπερβολική διάρκεια ή παροχή προνομίων.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Ευρωπαϊκές επενδύσεις 200 δισ. ευρώ στην τεχνητή νοημοσύνη
Την πρωτοβουλία InvestAI για την κινητοποίηση 200 δισεκατομμυρίων ευρώ για επενδύσεις στην τεχνητή νοημοσύνη ανακοίνωσε σήμερα η πρόεδρος της Κομισιόν, Ούρσουλα φον ντερ Λάιεν
Συνεργασία ICEYE και SATIM στην ανάλυση εικόνων SAR με χρήση AI
Η ICEYE και η SATIM θα ενισχύσουν τη χρήση δεδομένων SAR συνδυάζοντας δορυφορικές εικόνες SAR και προηγμένες λύσεις ανάλυσης
Παπαδόπουλος (Witside): Μας ενδιαφέρουν οι στρατηγικές συνεργασίες, όχι η εξαγορά
Οι εξαγορές στην ευρύτερη αγορά της Πληροφορικής θα συνεχιστούν, εκτίμησε ο Χρήστος Παπαδόπουλος, CEO και ιδιοκτήτης της Witside
Νέα εξαγορά απο την NXP - Αποκτά για 307 εκατ. δολ. εταιρεία που αναπτύσσει NPUs
Είναι η τρίτη εξαγορά για την ολλανδική εταιρεία NXP Semiconductors - Είχαν προηγηθεί η TTTech Auto (625 εκατ.δολ) και η Aviva Links για 242,5 εκατ.δολ.
Προσφορά «μαμούθ» 97,4 δισ. δολαρίων από Μασκ για την OpenAI - Τι απάντησε ο Άλτμαν
Τι περιλαμβάνει η προσφορά - Οι παλιοί συνεργάτες Σαμ Άλτμαν και Μασκ «κοντράρονται» ήδη στα δικαστήρια για την κατεύθυνση της εταιρείας
Επαφές Μητσοτάκη με εταιρείες τεχνολογίας στη Σύνοδο AI στο Παρίσι - Στο επίκεντρο τα data centers
Σύμφωνα με πηγές της κυβέρνησης είχε συνάντηση μεταξύ άλλων με τον Demis Hassabis, Νομπελίστα, συνιδρυτή και Διευθύνοντα Σύμβουλο της Deepmind, εταιρείας η οποία ανήκει στην Google
Βρετανός θέλει να αγοράσει τη χωματερή όπου έχασε 700 εκατ. ευρώ σε bitcoin
Σκληρός δίσκος με 8.000 bitcoin κατέληξε στα σκουπίδια πριν από 11 χρόνια. Η αναζήτηση ακόμα δεν έχει ξεκινήσει.
Μακρόν: Αγοράστε γαλλική και ευρωπαϊκή τεχνητή νοημοσύνη
Χρειάζεται «οικονομικός πατριωτισμός» κατά τον πρόεδρο της Γαλλίας, που θα επενδύσει 109 δισ. ευρώ στην ΑΙ
Οι Έλληνες που θέλουν να φτιάξουν το αντίπαλο δέος της DeepSeek - Τι είναι το OumiAI
H Oumi αποσκοπεί στο να γίνει η πρώτη πραγματικά ανοιχτή πλατφόρμα τεχνητής νοημοσύνης - Τι λέει ο Έλληνας CEO στο Ot.gr
Πως κρίνει τον Ίλον Μασκ η ίδια του η δημιουργία
Το Grok AI που αναπτύχθηκε από την εταιρεία xAI του Ίλον Μασκ φαίνεται να έχει μερικά προβλήματα με τον δημιουργό του
![Αεροδρόμια: Οι πιο δημοφιλείς προορισμοί για τους ξένους τουρίστες [γράφημα]](https://www.ot.gr/wp-content/uploads/2023/05/el.venizelos_aerodromio_680562846-1-90x90.jpg)
![Επενδύσεις: Πόσο στηρίζουν το ελληνικό ΑΕΠ – Τι δείχνει μελέτη της Alpha Bank [γραφήματα]](https://www.ot.gr/wp-content/uploads/2023/12/ot_artificial_ependyseis-600x352.png)
