أعلنت شركة مايكروسوفت يوم الاثنين أنها اتخذت خطوات لتصحيح خطأ أمني صارخ أدى إلى كشف 38 تيرابايت من البيانات الخاصة.
وقال ويز إنه تم اكتشاف التسرب في مستودع AI GitHub الخاص بالشركة وربما تم نشره عن غير قصد عند إصدار مجموعة بيانات تدريب مفتوحة المصدر. كما تضمن أيضًا نسخة احتياطية على القرص لمحطتي عمل للموظفين السابقين تحتوي على أسرار ومفاتيح وكلمات مرور وأكثر من 30 ألف رسالة داخلية للفريق.
المستودع المسمى “نقل النماذج القوية“، لم يعد متاحًا. قبل إزالته، كان يقدم كود المصدر ونماذج التعلم الآلي المتعلقة بـ ورقة بحثية 2020 عنوان “هل يتم نقل نماذج ImageNet ذات القدرة التنافسية بشكل أفضل؟ »
“هذا المعرض هو نتيجة لسياسة متساهلة بشكل مفرط رمز SAS – إحدى ميزات Azure التي تتيح للمستخدمين مشاركة البيانات بطريقة يصعب تتبعها وإبطالها،” Wiz قال في تقرير. تم الإبلاغ عن المشكلة إلى Microsoft في 22 يونيو 2023.
على وجه التحديد، أصدر ملف README.md الخاص بالمستودع تعليمات للمطورين بتنزيل القوالب من عنوان URL لتخزين Azure والذي منح أيضًا عن طريق الخطأ حق الوصول إلى حساب التخزين بالكامل، مما يكشف بيانات خاصة إضافية.
وقال الباحثان في ويز، هيلاي بن ساسون وروني جرينبيرج: “بالإضافة إلى نطاق الوصول المفرط في التساهل، تم أيضًا تكوين الرمز بشكل خاطئ للسماح بأذونات” التحكم الكامل “بدلاً من القراءة فقط”. “وهذا يعني أنه لا يمكن للمهاجم رؤية جميع الملفات الموجودة في حساب التخزين فحسب، بل يمكنه أيضًا حذف الملفات الموجودة والكتابة فوقها.”
وردا على النتائج، قالت مايكروسوفت قال لم يجد تحقيقها أي دليل على التعرض غير المصرح به لبيانات العملاء و”لم تتعرض أي أقسام داخلية أخرى للخطر بسبب هذه المشكلة”. وشدد أيضًا على أن العملاء لا يحتاجون إلى اتخاذ أي إجراء من جانبهم.
لاحظ صانعو Windows أيضًا أنهم قاموا بإلغاء رمز SAS المميز وحظر كل الوصول الخارجي إلى حساب التخزين. تم حل المشكلة بعد يومين من الكشف المسؤول.
وللتخفيف من هذه المخاطر في المستقبل، قامت الشركة بتوسيع خدمة المسح السري الخاصة بها لتشمل أي رمز SAS قد يكون له انتهاء صلاحية أو امتيازات مفرطة. وقالت إنها حددت أيضًا خطأً في نظام التحليلات الخاص بها والذي وضع علامة على عنوان URL المحدد لـ SAS في المستودع باعتباره إيجابيًا كاذبًا.
وقال الباحثون: “بسبب الافتقار إلى الأمن والحوكمة لرموز حساب SAS، يجب اعتبارها حساسة مثل مفتاح الحساب نفسه”. “لذلك، يوصى بشدة بتجنب استخدام حساب SAS للمشاركة الخارجية. يمكن أن تمر أخطاء الترميز بسهولة دون أن يلاحظها أحد وتكشف البيانات الحساسة.”
الهوية هي نقطة النهاية الجديدة: إتقان أمان SaaS في العصر الحديث
انغمس في مستقبل أمان SaaS مع Maor Bin، الرئيس التنفيذي لشركة Adaptive Shield. اكتشف لماذا تعتبر الهوية نقطة النهاية الجديدة. احجز مكانك الآن.
ليست هذه هي المرة الأولى التي تظهر فيها حسابات تخزين Azure التي تم تكوينها بشكل خاطئ. في يوليو 2022، مختبرات JUMPSEC يؤكد سيناريو يمكن فيه لممثل ضار الاستفادة من هذه الحسابات للوصول إلى بيئة المؤسسة المحلية.
يمثل هذا التطوير أحدث خطأ أمني لشركة Microsoft ويأتي بعد أسبوعين تقريبًا من كشف الشركة عن أن المتسللين المقيمين في الصين تمكنوا من التسلل إلى أنظمة الشركة وسرقة مفتاح توقيع حساس للغاية من خلال اختراق حساب شركة المهندس وربما الوصول إلى تفريغ تعطل Microsoft. نظام توقيع المستهلك
قال آمي لوتواك، المدير التنفيذي للتكنولوجيا والمؤسس المشارك: “يفتح الذكاء الاصطناعي إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، بينما يتسابق علماء البيانات والمهندسون لجلب حلول الذكاء الاصطناعي الجديدة إلى الإنتاج، فإن الكميات الهائلة من البيانات التي يعالجونها تتطلب ضوابط وضمانات أمنية إضافية”. من ويز. تصريح.
“تتطلب هذه التكنولوجيا الناشئة مجموعات كبيرة من البيانات للتدريب عليها. وبينما يتعين على العديد من فرق التطوير التعامل مع كميات هائلة من البيانات، أو مشاركتها مع أقرانها، أو التعاون في مشاريع عامة مفتوحة المصدر، فإن مثل هذه الحالات من Microsoft تزداد صعوبة مراقبتها وتجنبها.”
“Social media addict. Zombie fanatic. Travel fanatic. Music geek. Bacon expert.”