Дослідники Microsoft AI випадково розкрили десятки терабайт конфіденційних даних, у тому числі приватні ключі та паролі, під час публікації сховища навчальних даних з відкритим кодом на GitHub. Про це повідомляє TechCrunch.
Cтартап Wiz, що займається хмарною безпекою, виявив репозиторій GitHub, що належить дослідницькому відділу штучного інтелекту Microsoft (у межах поточної роботи Wiz із випадкового виявлення даних, розміщених у хмарі).
Читачі репозиторію GitHub, який надав відкритий вихідний код і моделі ШІ для розпізнавання зображень, отримали вказівки завантажити моделі з URL-адреси сховища Azure.
Однак Wiz виявив, що цю URL-адресу було налаштовано для надання дозволів для всього облікового запису зберігання, oj помилково відкрив додаткові особисті дані.
Ці дані включали 38 терабайт конфіденційної інформації, у тому числі персональні резервні копії з ПК двох співробітників корпорації Microsoft.
Доступними стали й інші конфіденційні особисті дані, включно з паролями до служб Microsoft, секретними ключами й понад 30 тисяч внутрішніх повідомлень Microsoft Teams від сотень співробітників компанії.
URL-адреса, яка розкривала ці дані з 2020 року, також була неправильно налаштована – дозволяла «повний контроль», а не «лише читання», згідно з повідомленням Wiz. Тобто будь-хто, хто знав, де шукати, потенційно міг видалити, замінити й впровадити у них шкідливий контент.
У Wiz зазначили, що обліковий запис сховища не було безпосередньо розкрито. Натомість розробники Microsoft AI додали до URL-адреси маркер підпису спільного доступу (SAS) із надмірним дозволом.
Маркери SAS – це механізм, який використовується Azure і дає змогу користувачам створювати покликання для спільного використання, які надають доступ до даних облікового запису Azure Storage.
«Штучний інтелект розкриває величезний потенціал для технологічних компаній», – сказав у коментарі TechCrunch співзасновник і технічний директор Wiz Амі Лутвак.
«Однак, оскільки науковці й інженери з обробки даних намагаються запровадити нові рішення ШІ у виробництво, величезні обсяги даних, які вони обробляють, потребують додаткових перевірок і заходів безпеки. Оскільки багатьом командам розробників доводиться маніпулювати величезними обсягами даних, ділитися ними з колегами або співпрацювати над загальнодоступними проєктами з відкритим кодом, такі випадки, як із Microsoft, стає все важче контролювати й уникати», – додав він.
У Wiz повідомили, що поділилися своїми висновками з Microsoft 22 червня, а компанія відкликала токен SAS через два дні, 24 червня. Microsoft же заявила, що завершила розслідування потенційного впливу на організацію 16 серпня.
У Центрі реагування безпеки Microsoft наголосили, що «жодні дані клієнтів не були розкриті. Жодні інші внутрішні служби не були піддані ризику через цю проблему».
Представник корпорації заявив, що у результаті досліджень Wiz було розширено секретну службу сполучення GitHub, яка відстежує всі зміни загальнодоступного коду з відкритим вихідним кодом для виявлення відкритого тексту облікових даних та інших секретів, щоб включити будь-який маркер SAS, який може мати надто дозволений термін дії або привілеї.
Раніше ми повідомляли, що Microsoft припинила офіційну підтримку програмного забезпечення для Surface Duo першого покоління.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодної публікації!