38 ترابایت از اطلاعات مایکروسافت بر اثر اشتباه کارمندان نشت شد!

یک لینک اشتباه پیکربندی شده به طور تصادفی 38 ترابایت داده مایکروسافت را فاش کرد و امکان تزریق کدهای مخرب به مدل‌های هوش مصنوعی آن را فراهم کرد.
این گزارش از سرویس امنیت ابری Wiz به دست آمده است که اخیراً اینترنت را برای یافتن حساب‌های ذخیره‌سازی افشا شده اسکن کرده است. یک مخزن نرم افزاری در GitHub متعلق به مایکروسافت پیدا کرد که به ارائه کد منبع باز و مدل های هوش مصنوعی برای تشخیص تصویر اختصاص داده شده است.

در صفحه آسیب‌دیده GitHub، یکی از کارمندان مایکروسافت یک URL ایجاد کرده بود که به بازدیدکنندگان مخزن نرم‌افزار امکان دانلود مدل‌های هوش مصنوعی را از یک محفظه ذخیره‌سازی Azure فراهم می کرد.

Wiz در گزارش خود گفت: « این URL برای اعطای مجوز به کل حساب ذخیره سازی پیکربندی شده است، و به اشتباه داده های خصوصی اضافی را در معرض دید قرار می دهد.»
اسکن‌های Wiz Research نشان داد که محفظه ذخیره‌سازی Azure دارای 38 ترابایت داده، از جمله «گذرواژه‌های سرویس‌های مایکروسافت، کلیدهای مخفی و بیش از 30000 پیام داخلی تیم مایکروسافت از 359 کارمند مایکروسافت» است.

لینک محفظه ذخیره سازی نیز با استفاده از یک نشانه قدرتمند «Shared Access Signature» یا رمز SAS ایجاد شده است که به هر کسی که از پیوند بازدید می کند – از جمله مهاجمان بالقوه – امکان مشاهده، حذف یا بازنویسی آن فایل ها را می دهد.

Wiz در ادامه گزارش خود گفت: با توجه به اینکه هدف اصلی مخزن ارائه مدل‌های هوش مصنوعی برای استفاده در کد آموزشی است، این موضوع به صورت ویژخ ای جالب است. به این معنی که یک مهاجم می‌توانست کد مخربی را به تمام مدل‌های هوش مصنوعی در این حساب ذخیره‌سازی تزریق کند، و هر کاربری که به مخزن GitHub مایکروسافت اعتماد دارد، توسط آن آلوده می‌شود.

Wiz این موضوع را در ماه ژوئن به مایکروسافت گزارش داد و شرکت فوراً نشت را قطع کرد. مایکروسافت در گزارش خود گفت: «هیچ اطلاعات مشتری افشا نشد و هیچ سرویس داخلی دیگری به دلیل این مشکل در معرض خطر قرار نگرفت.

این شرکت همچنین گفت که محفظه ذخیره‌سازی لو رفته حاوی نسخه‌های پشتیبان و پیام‌های داخلی تیم مایکروسافت متعلق به دو کارمند سابق مایکروسافت است. برای جلوگیری از افشای اطلاعات بیشتر، مایکروسافت به دنبال توکن‌های SAS است این کدها ممکن است دارای اجازه دهی یا امتیازات زیادی در باشند.

با این حال، این حادثه یادآور پیکربندی ایمن دسترسی به حساب‌های ذخیره‌سازی ابری است، به‌ویژه آن‌هایی که مجموعه‌های داده بزرگی دارند. ویز افزود: «از آنجایی که دانشمندان و مهندسان داده در تلاش هستند تا راه‌کارهای جدید هوش مصنوعی را به تولید برسانند، حجم عظیمی از داده‌هایی که آنها با ان سروکار دارند و مدیریت می‌کنند نیاز به بررسی‌های امنیتی بیشتری دارد.

اخبار آسیب‌پذیری‌ها را از وبسایت آپا بخش آسیب‌پذیری‌ها می توانید بخوانید، در ضمن صفحه اینستای ما را هم دنبال کنید.

دیدگاه شما

نشانی ایمیل شما منتشر نخواهد شد.