Οι ερευνητές τεχνητής νοημοσύνης της Microsoft φέρονται να εξέθεσαν κατά λάθος δεκάδες terabytes ευαίσθητων δεδομένων, συμπεριλαμβανομένων ιδιωτικών κλειδιών και κωδικών πρόσβασης, καθώς «άφησαν» εκτεθειμένο έναν κάδο αποθήκευσης δεδομένων εκπαίδευσης ανοιχτού κώδικα στο GitHub.
Η νεοσύστατη εταιρεία ασφάλειας cloud Wiz γνωστοποίησε ότι ανακάλυψε ένα αποθετήριο στο GitHub (θυγατρική της Microsoft) που ανήκε στο τμήμα έρευνας AI της Microsoft, στο πλαίσιο των συνεχιζόμενων εργασιών της σχετικά με την τυχαία έκθεση δεδομένων που φιλοξενούνται στο cloud.
Οι νέες συσκευές «φέρνουν» και νέες προσπάθειες απάτης – Τι να προσέχετε
Όπως αναφέρεται σε δημοσίευμα του TechCrunch, όσοι είχαν πρόσβαση στο αποθετήριο GitHub, το οποίο παρείχε αρχεία ανοικτού κώδικα και μοντέλα AI για την αναγνώριση εικόνων, έλαβαν οδηγίες να κατεβάσουν τα μοντέλα από μια διεύθυνση Azure Storage. Ωστόσο, η Wiz διαπίστωσε ότι αυτή η διεύθυνση URL είχε ρυθμιστεί ώστε να χορηγεί δικαιώματα σε ολόκληρο το λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος πρόσθετα ιδιωτικά δεδομένα.
Τα δεδομένα αυτά περιλάμβαναν 38 terabytes ευαίσθητων πληροφοριών, συμπεριλαμβανομένων των προσωπικών αντιγράφων ασφαλείας δύο προσωπικών υπολογιστών δύο υπαλλήλων της Microsoft. Τα δεδομένα περιείχαν επίσης άλλα ευαίσθητα προσωπικά δεδομένα, συμπεριλαμβανομένων κωδικών πρόσβασης σε υπηρεσίες της Microsoft, μυστικών κλειδιών και πάνω από 30.000 εσωτερικά μηνύματα του Microsoft Teams από εκατοντάδες υπαλλήλους της Microsoft.
Λάθος στο λάθος
Η διεύθυνση URL, η οποία είχε εκθέσει αυτά τα δεδομένα από το 2020, ήταν επίσης λανθασμένα ρυθμισμένη ώστε να επιτρέπει δικαιώματα «πλήρους ελέγχου» αντί για δικαιώματα «μόνο για ανάγνωση», σύμφωνα με τη Wiz, πράγμα που σήμαινε ότι όποιος ήξερε πού να κοιτάξει θα μπορούσε ενδεχομένως να διαγράψει, να αντικαταστήσει και να εισάγει κακόβουλο περιεχόμενο σε αυτά.
Η Wiz σημειώνει ότι ο λογαριασμός αποθήκευσης δεν εκτέθηκε άμεσα. Αντίθετα, οι προγραμματιστές της Microsoft AI συμπεριέλαβαν ένα διακριτικό υπογραφής κοινής πρόσβασης (SAS) στη διεύθυνση URL που τους έδινε υπερβολικά πολλά δικαιώματα χρήσης. Τα SAS tokens είναι ένας μηχανισμός που χρησιμοποιείται από το Azure και επιτρέπει στους χρήστες να δημιουργούν συνδέσμους κοινής χρήσης που παρέχουν πρόσβαση στα δεδομένα ενός λογαριασμού Azure Storage.
Η διόρθωση
Η Wiz δήλωσε ότι μοιράστηκε τα ευρήματά της με τη Microsoft στις 22 Ιουνίου και η Microsoft ανακάλεσε το SAS token δύο ημέρες αργότερα, στις 24 Ιουνίου. Η Microsoft δήλωσε ότι ολοκλήρωσε την έρευνά της σχετικά με τις πιθανές οργανωτικές επιπτώσεις στις 16 Αυγούστου.
Σε ανάρτηση σε εταιρικό blog, το Κέντρο Απόκρισης Ασφάλειας της Microsoft δήλωσε ότι «δεν εκτέθηκαν δεδομένα πελατών και δεν τέθηκαν σε κίνδυνο άλλες εσωτερικές υπηρεσίες εξαιτίας αυτού του προβλήματος».
Η Microsoft ανακοίνωσε ότι, ως αποτέλεσμα της έρευνας της Wiz, έχει επεκτείνει την υπηρεσία secret spanning του GitHub, η οποία παρακολουθεί όλες τις δημόσιες αλλαγές σε αρχεία λογισμικού ανοιχτού κώδικα για την έκθεση διαπιστευτηρίων, ώστε να συμπεριλάβει οποιοδήποτε SAS token που μπορεί να έχει υπερβολική διάρκεια ή παροχή προνομίων.
Latest News
Από την πυρηνική ενέργεια στην κβαντική μηχανική - Πώς οι Big Tech θα σβήσουν τη δίψα της AI για ενέργεια
Οι Big Tech έχουν εξασφαλίσει συμφωνίες πυρηνικής ενέργειας αξίας δισ. δολαρίων - Στο βάθος πάντα υπάρχει και η προοπτική των κβαντικών υπολογιστών
Κι ύστερα ήρθαν οι μέλισσες - Πώς ένα σπάνιο είδος ματαιώνει data center της Meta
Η Meta βρίσκεται υπό πίεση να αποδείξει στους επενδυτές ότι το στοίχημά της στην τεχνητή νοημοσύνη θα αποφέρει καρπούς
TikTok: Κατηγορούμενο για αυτοκτονίες εφήβων – Αγωγή από επτά οικογένειες
Ο αλγόριθμος του TikTok φέρεται να προτείνει σε εφήβους βίντεο που προωθούν αυτοκαταστροφικές συμπεριφορές.
«Είμαστε στο έλεος της Google» - Πώς μας λέει αυτό που θέλουμε να ακούσουμε
Όσοι απευθύνονται στη Google για να τους λύσει τις απορίες μπορεί να δουν δραματικά διαφορετικές όψεις του κόσμου
Χιντζίδης (Performance Technologies): Η Εναλλακτική μας προετοίμασε για την Κύρια Αγορά του ΧΑ
Ο Διονύσης Χιντζίδης, πρόεδρος και διευθύνων σύμβουλος της Performance Technologies, μίλησε για την πορεία της εταιρείας μέχρι την Κύρια Αγορά
Γιατί ο Ζάκερμπεργκ δεν θα πάψει να ξοδεύει ασύστολα για τεχνητή νοημοσύνη
Ο Μαρκ Ζάκερμπεργκ θεωρεί ότι η χρήση τεχνητής νοημοσύνης ωθεί τα κέρδη της Meta Platforms
Πώς οι Big Tech κερδίζουν σήμερα για να επενδύσουν στο μέλλον
Οι τεχνολογικοί γίγαντες διαφημίζουν πραγματικές νίκες σήμερα για να δικαιολογήσουν τεράστιες επενδύσεις αύριο και οι επενδυτές στηρίζουν, ως ένα σημείο
Η Huawei ακόμα παλεύει να ανακάμψει από τις κυρώσεις, λέει ο ιδρυτής
Ο Ρεν Ζενγκφέι λέει ότι παρά την θεαματική ανάκαμψη η Huawei δεν έχει ξεπεράσει τα προβλήματά της
Οι αποτυχημένες προσπάθειες «ανάστασης» της Intel και οι χειρισμοί Γκέλσινγκερ
O CEO της Intel, Πατ Γκέλσινγκερ, έθεσε υψηλές προσδοκίες για τις ικανότητες κατασκευής της εταιρείας αλλά και την ικανότητά της στον τομέα της AI, ωστόσο απέτυχε να ανταποκριθεί
Apple: Διαθέσιμοι από 8 Νοεμβρίου οι νέοι υπολογιστές Mac στην Ελλάδα
Η Apple ανακοίνωσε τρεις νέους υπολογιστές Mac, σχεδιασμένους να υποστηρίζουν την πλατφόρμα Apple Intelligence, με το νέο επεξεργαστή M4