Bazar ertəsi Microsoft, 38 terabaytlıq şəxsi məlumatı ifşa edən təhlükəsizlik səhvini düzəltmək üçün addımlar atdığını söylədi.
Wiz, sızmanın şirkətin AI GitHub deposunda aşkar edildiyini və bir sıra açıq mənbə təlim məlumatlarını dərc edərkən təsadüfən ictimaiyyətə açıqlandığını söylədi. O, həmçinin sirləri, açarları, parolları və 30.000-dən çox daxili Teams mesajlarını ehtiva edən iki keçmiş işçilərin iş stansiyasının (workstation) disk ehtiyat nüsxəsini ehtiva edir.
“Robust-models-transfer” deposu artıq əlçatan deyil. Ləğv edilməzdən əvvəl, 2020-ci il “Do Adversarially Robust ImageNet Models Transfer Better?” adlı 2020-ci il tədqiqat məqaləsi üçün mənbə kodu və maşın öyrənmə modelləri daxildir.
“Bu açıqlama, istifadəçilərə məlumatları izləmək və ləğv etmək çətin olan şəkildə paylaşmağa imkan verən Azure xüsusiyyəti olan həddən artıq icazə verilən SAS tokeni nəticəsində baş verib” dedi Wiz hesabatında. Məsələ 22 iyun 2023-cü ildə Microsoft-a bildirildi.
Xüsusilə, deponun README.md faylı tərtibatçılara təsadüfən bütün yaddaş hesabına giriş icazəsi verən Azure Storage URL-dən modelləri endirməyi və bununla da əlavə şəxsi məlumatları ifşa etməyi tapşırıb.
Wiz tədqiqatçıları Hillai Ben-Sasson və Ronny Greenberg yazdı: “İcazə verilən girişin həddən artıq əhatə dairəsinə əlavə olaraq, token yalnız oxumaq üçün deyil, “tam nəzarət” icazələrini vermək üçün yanlış konfiqurasiya edilmişdir. dedi. “Beləliklə, təcavüzkar yalnız yaddaş hesabındakı bütün faylları görə bilməz, həm də mövcud faylları silə və üzərinə yaza bilər.”
Tapıntılara cavab olaraq Microsoft, araşdırmasının müştəri məlumatlarının icazəsiz açıqlanmasına dair heç bir dəlil tapmadığını və “bu məsələ ilə bağlı heç bir digər daxili xidmətin pozulmadığını” söylədi. Həmçinin vurğulanıb ki, müştərilərin öz tərəfdən hər hansı tədbir görməsinə ehtiyac yoxdur.
Windows istehsalçıları həmçinin SAS tokeninin ləğv edildiyini və yaddaş hesabına bütün xarici girişin bloklandığını bildirdilər. Məsul şəxslərin üzə çıxmasından iki gün sonra məsələ həllini tapıb.
Gələcəkdə bu cür riskləri azaltmaq üçün şirkət həddindən artıq icazə verilən son istifadə müddəti və ya imtiyazları ola biləcək bütün SAS tokenlərini daxil etmək üçün şəxsi baxış xidmətini genişləndirdi. O, həmçinin skan sistemində anbarda xüsusi SAS URL-ni yanlış pozitiv kimi qeyd edən bir səhv aşkar etdiyini söylədi.
“Hesab SAS tokenləri üzərində təhlükəsizlik və idarəetmənin olmaması səbəbindən, onlar hesab açarının özü qədər həssas hesab edilməlidir” dedi tədqiqatçılar. “Ona görə də xarici paylaşım üçün Account SAS-dan istifadə etməməyiniz çox tövsiyə olunur. “Token yaratma səhvləri asanlıqla diqqətdən yayına bilər və həssas məlumatları ifşa edə bilər.”
Bu, yanlış konfiqurasiya edilmiş Azure yaddaş hesablarının üzə çıxması ilk dəfə deyil. 2022-ci ilin iyul ayında JUMPSEC Labs təhlükə aktyorunun korporativ daxili mühitə giriş əldə etmək üçün bu cür hesablardan istifadə edə biləcəyi ssenarini vurğuladı.
Bu inkişaf Microsoft-un ən son təhlükəsizlik səhvidir və şirkətin Çində yerləşən hakerlərin bir mühəndisin korporativ hesabını ələ keçirərək ve onun istehlakçı imzalama sisteminin crash dump-ine daxil olaraq şirkətin sistemlərinə nüfuz edə bildiyini və yüksək həssas imza açarını oğurlaya bildiyini elan etməsindən təxminən iki həftə sonra baş verir.
Wiz CTO və həmtəsisçisi Ami Luttwak dedi: “AI texnologiya şirkətləri üçün böyük potensialı açır. Ancaq məlumat alimləri və mühəndislər yeni AI həllərini istehsala gətirmək üçün yarışdıqca, emal etdikləri böyük miqdarda məlumat əlavə təhlükəsizlik nəzarəti və tədbirləri tələb edir.”
“Bu inkişaf edən texnologiya məşq etmək üçün böyük məlumat dəstləri tələb edir. Bir çox inkişaf komandaları böyük həcmdə məlumatı emal etməli, onu həmkarları ilə paylaşmalı və ya açıq mənbəli layihələrdə əməkdaşlıq etməlidirlər, Microsoft kimi hadisələri izləmək və qarşısını almaq getdikcə çətinləşir.”
