وفقًا لموقع The Hacker News ، اكتشفت Wiz Research - وهي شركة ناشئة في مجال أمن السحابة - مؤخرًا تسربًا للبيانات في مستودع GitHub الخاص بشركة Microsoft AI، والذي قيل إنه تم الكشف عنه عن طريق الخطأ عند نشر مجموعة من بيانات التدريب مفتوحة المصدر.
وتتضمن البيانات المسربة نسخة احتياطية من محطتي عمل لموظفين سابقين في مايكروسوفت تحتوي على مفاتيح سرية وكلمات مرور وأكثر من 30 ألف رسالة داخلية لتطبيق Teams.
أصبح المستودع، المسمى "robust-models-transfer"، غير متاح الآن. قبل إغلاقه، كان يتضمن شفرة المصدر ونماذج التعلم الآلي المتعلقة بورقة بحثية صدرت عام ٢٠٢٠.
صرحت شركة Wiz أن اختراق البيانات حدث بسبب رمز SAS شديد الضعف، وهو ميزة في Azure تتيح للمستخدمين مشاركة بيانات يصعب تتبعها وإلغاؤها. أُبلغت مايكروسوفت بالحادثة في 22 يونيو/حزيران 2023.
وبناءً على ذلك، أرشد ملف README.md الخاص بالمستودع المطورين إلى تنزيل النماذج من عنوان URL الخاص بـ Azure Storage، مما أدى عن غير قصد إلى توفير الوصول إلى حساب التخزين بالكامل، وبالتالي الكشف عن بيانات خاصة إضافية.
بالإضافة إلى الوصول المفرط، أُعدّ رمز SAS بشكل خاطئ، مما سمح بالتحكم الكامل بدلاً من الوصول للقراءة فقط، وفقًا لباحثي Wiz. في حال استغلاله، سيعني ذلك أن المهاجم لن يتمكن فقط من عرض جميع الملفات في حساب التخزين، بل سيتمكن أيضًا من حذفها والكتابة فوقها.
ردًا على التقرير، صرّحت مايكروسوفت بأن تحقيقها لم يعثر على أي دليل على تعرض بيانات العملاء للخطر، ولم تُعرّض أي خدمات داخلية أخرى للخطر نتيجةً لهذا الحادث. وأكدت الشركة أن العملاء ليسوا مُلزمين باتخاذ أي إجراء، وأعلنت أنها ألغت رموز SAS وحظرت جميع الوصولات الخارجية إلى حسابات التخزين.
للتخفيف من مخاطر مماثلة، وسّعت مايكروسوفت نطاق خدمة المسح السري لديها للبحث عن أي رموز SAS قد تكون ذات امتيازات محدودة أو مفرطة. كما رصدت خللًا في نظام المسح يُصنّف عناوين URL الخاصة بـ SAS في المستودع على أنها نتائج إيجابية خاطئة.
يقول الباحثون إنه نظرًا لضعف الأمان والحوكمة في رموز حسابات SAS، فإن الاحتياط هو تجنب استخدامها للمشاركة الخارجية. إذ يُمكن تجاوز أخطاء إنشاء الرموز بسهولة، مما قد يؤدي إلى كشف البيانات الحساسة.
في وقت سابق في يوليو 2022، كشفت JUMPSEC Labs عن تهديد قد يستغل هذه الحسابات للوصول إلى الشركات.
تم العثور على ملفات حساسة في النسخة الاحتياطية بواسطة Wiz Research
هذا أحدث اختراق أمني لشركة مايكروسوفت، فقبل أسبوعين كشفت الشركة أيضًا أن قراصنة صينيين اخترقوا وسرقوا مفاتيح عالية الأمان. سيطر القراصنة على حساب مهندس في الشركة، وتمكنوا من الوصول إلى مستودع التوقيعات الرقمية الخاص بالمستخدم.
تُظهر الحادثة الأخيرة المخاطر المحتملة لإدخال الذكاء الاصطناعي في الأنظمة الكبيرة، وفقًا لأمي لوتواك، المديرة التقنية لشركة Wiz CTO، التي ترى أن الذكاء الاصطناعي يوفر إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، مع تسابق علماء ومهندسي البيانات لتطبيق حلول ذكاء اصطناعي جديدة، تتطلب الكميات الهائلة من البيانات التي يعالجونها فحوصات أمنية وإجراءات حماية إضافية.
مع حاجة العديد من فرق التطوير إلى العمل مع كميات هائلة من البيانات، ومشاركة تلك البيانات مع أقرانهم، أو التعاون في مشاريع مفتوحة المصدر عامة، أصبحت الحالات مثل حالة مايكروسوفت يصعب تتبعها وتجنبها بشكل متزايد.
[إعلان 2]
رابط المصدر
تعليق (0)