Οι ερευνητές τεχνητής νοημοσύνης της Microsoft φέρονται να εξέθεσαν κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης, καθώς «άφησαν» εκτεθειμένο έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοιχτού κώδικα στο GitHub.
Η νεοσύστατη εταιρεία ασφάλειας cloud Wiz γνωστοποίησε ότι ανακάλυψε ένα αποθετήριο στο GitHub (θυγατρική της Microsoft) που ανήκε στο τμήμα έρευνας AI της Microsoft, στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι νέες συσκευές «φέρνουν» και νέες προσπάθειες απάτης – Τι να προσέχετε
Όπως αναφέρεται σε δημοσίευμα του TechCrunch, όσοι είχαν πρόσβαση στο αποθετήριο GitHub, το οποίο παρείχε αρχεία ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση Azure Storage. Ωστόσο, η Wiz διαπίστωσε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να χορηγεί δικαιώματα σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος πρόσθετα ιδιωτικά δεδομένα.
Τα δεδομένα αυτά περιλάμβαναν 38 terabytes ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των προσωπικών αντιγράφων ασφαλείας δύο προσωπικών υπολογιστών δύο υπαλλήλων της Microsoft. Τα δεδομένα περιείχαν επίσης άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης σε υπηρεσίες της Microsoft, μυστικών κλειδιών και πάνω από 30.000 εσωτερικά μηνύματα του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Λάθος στο λάθος
Η διεύθυνση URL, η οποία είχε εκθέσει αυτά τα δεδομένα από το 2020, ήταν επίσης λανθασμένα ρυθμισμένη ώστε να επιτρέπει δικαιώματα «πλήρους ελέγχου» αντί για δικαιώματα «μόνο για ανάγνωση», σύμφωνα με τη Wiz, πράγμα που σήμαινε ότι όποιος ήξερε πού να κοιτάξει θα μπορούσε ενδεχομένως να διαγράψει, να αντικαταστήσει και να εισάγει κακόβουλο περιεχόμενο σε αυτά.
Η Wiz σημειώνει ότι ο λογαριασμός αποθήκευσης δεν εκτέθηκε άμεσα. Αντίθετα, οι προγραμματιστές της Microsoft AI συμπεριέλαβαν ένα διακριτικό υπογραφής κοινής πρόσβασης (SAS) στη διεύθυνση URL που τους έδινε υπερβολικά πολλά δικαιώματα χρήσης. Τα SAS tokens είναι ένας μηχανισμός που χρησιμοποιείται από το Azure και επιτρέπει στους χρήστες να δημιουργούν συνδέσμους κοινής χρήσης που παρέχουν πρόσβαση στα δεδομένα ενός λογαριασμού Azure Storage.
Η διόρθωση
Η Wiz δήλωσε ότι μοιράστηκε τα ευρήματά της με τη Microsoft στις 22 Ιουνίου και η Microsoft ανακάλεσε το SAS token δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου.
Σε ανάρτηση σε εταιρικό blog, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι «δεν εκτέθηκαν δεδομένα πελατών και δεν τέθηκαν σε κίνδυνο άλλες εσωτερικές υπηρεσίες εξαιτίας αυτού του προβλήματος».
Η Microsoft ανακοίνωσε ότι, ως αποτέλεσμα της έρευνας της Wiz, έχει επεκτείνει την υπηρεσία secret spanning του GitHub, η οποία παρακολουθεί όλες τις δημόσιες αλλαγές σε αρχεία λογισμικού ανοιχτού κώδικα για την έκθεση διαπιστευτηρίων, ώστε να συμπεριλάβει οποιοδήποτε SAS token που μπορεί να έχει υπερβολική διάρκεια ή παροχή προνομίων.
στο Google News και μάθετε πρώτοι όλες τις ειδήσειςLatest News
Στις συμπληγάδες ΗΠΑ - Κίνας ο γίγαντας των ημιαγωγών Nvidia - Τι ζητά ο Χουάνγκ στο Πεκίνο;
Ο Τζένσεν Χουάνγκ, CEO της Nvidia, θα απαιτήσει άδειες για να εξάγει το μικροτσίπ H20 AI στην Κίνα
Ιταλική εφημερίδα δημοσίευσε ένθετο γραμμένο από ΑΙ
Μετά τον πρώτο μήνα δοκιμών, η ιταλική εφημερίδα Il Foglio προσέλαβε το σύστημα ως μόνιμο υπάλληλο.
Σημεία ζωής σε άλλο πλανήτη; Πολλοί αστρονόμοι αμφιβάλλουν
Αέρια που υποτίθεται ότι παράγονται αποκλειστικά από ζωντανούς οργανισμούς ανιχνεύτηκαν στιν πλανήτη K2-18b. Ή μήπως όχι;
Worldline: Το μέλλον των ψηφιακών πληρωμών είναι ανθρώπινο και προσωποποιημένο
«Το μέλλον των πληρωμών δεν είναι απλώς ψηφιακό. Είναι έξυπνο, ανθρώπινο και εξατομικευμένο» επισήμανε ο κ. Κιτιξής, Country Head and Managing Director της Worldline
Στο στόχαστρο ξανά η Google - Η νέα δίκη για μονοπωλιακές πρακτικές
Η απόφαση επιτρέπει στις ΗΠΑ να υποστηρίξουν ότι η Google πρέπει να πουλήσει διαφημιστικά εργαλεία
Η SpaceX του Μασκ κοντά στο να αναλάβει την κατασκευή της πυραυλικής ασπίδας Golden Dome του Τραμπ
Η SpaceX έχει προτείνει να καθιερώσει τον ρόλο της στο «Golden Dome» ως «συνδρομητική υπηρεσία»
Τέλος στις κριτικές και βαθμολογήσεις για σχολεία στο Google maps
Η Google διευκρινίζει ότι αυτό το μέτρο θα εφαρμοστεί σε «σχολεία γενικής εκπαίδευσης» παγκοσμίως
Η Nvidia κράτησε στο... σκοτάδι τους Κινέζους πελάτες της - Τι αποκαλύπτει το Reuters
Σύμφωνα με δημοσίευμα του Reuters η Nvidia ενώ γνώριζε τους νέους περιορισμούς εξαγωγών της Ουάσιγκτον δεν ενημέρωσε εγκαίρως τους Κινέζους πελάτες της
Αντιμέτωπη με νέα αγωγή στη Βρετανία η Google - Πιθανές αποζημιώσεις 5 δισ. λιρών
Η μήνυση ασκείται για λογαριασμό όλων των οργανισμών που εδρεύουν στη Βρετανία και που χρησιμοποίησαν τις υπηρεσίες διαφήμισης αναζήτησης της Google από την 1η Ιανουαρίου 2011
Η Δικαιοσύνη αναβαθμίζεται ψηφιακά με συστήματα AI
Μέχρι σήμερα, η μετάφραση εκατοντάδων, αν όχι χιλιάδων, σελίδων και η αναζήτηση διαθέσιμων μεταφραστών και διερμηνέων, ειδικά σε κάποιες γλώσσες, προκαλεί σημαντικές καθυστερήσεις
![Πλημμύρες: Σημειώθηκαν σε επίπεδα ρεκόρ στην Ευρώπη το 2024 [γράφημα]](https://www.ot.gr/wp-content/uploads/2025/04/FLOOD_HUNGRY-90x90.jpg)
![Airbnb: Πτωτικά κινήθηκε η ζήτηση τον Μάρτιο – Τι δείχνουν τα στοιχεία [γράφημα]](https://www.ot.gr/wp-content/uploads/2024/07/airbnb-gba8e58468_1280-1-90x90.jpg)
![Airbnb: Πτωτικά κινήθηκε η ζήτηση τον Μάρτιο – Τι δείχνουν τα στοιχεία [γράφημα]](https://www.ot.gr/wp-content/uploads/2024/07/airbnb-gba8e58468_1280-1-600x500.jpg)
