وفقًا لموقع The Hacker News ، اكتشفت شركة Wiz Research - وهي شركة ناشئة في مجال أمن السحابة - مؤخرًا تسربًا للبيانات في مستودع GitHub التابع لشركة Microsoft AI، والذي قيل إنه تم الكشف عنه عن طريق الخطأ عند نشر مجموعة من بيانات التدريب مفتوحة المصدر.
وتتضمن البيانات المسربة نسخة احتياطية من محطات عمل اثنين من موظفي مايكروسوفت السابقين تحتوي على مفاتيح سرية وكلمات مرور وأكثر من 30 ألف رسالة داخلية لتطبيق Teams.
أصبح المستودع، المسمى "robust-models-transfer"، غير متاح الآن. قبل إغلاقه، كان يتضمن شيفرة مصدرية ونماذج تعلّم آلي متعلقة بورقة بحثية صدرت عام ٢٠٢٠.
صرحت شركة Wiz أن اختراق البيانات حدث بسبب رمز SAS شديد الضعف، وهو ميزة في Azure تتيح للمستخدمين مشاركة بيانات يصعب تتبعها وإلغاؤها. أُبلغت مايكروسوفت بالحادثة في 22 يونيو/حزيران 2023.
وبناءً على ذلك، أرشد ملف README.md الخاص بالمستودع المطورين إلى تنزيل النماذج من عنوان URL الخاص بـ Azure Storage، مما أدى عن غير قصد إلى توفير الوصول إلى حساب التخزين بالكامل، وبالتالي الكشف عن بيانات خاصة إضافية.
بالإضافة إلى الوصول المفرط، أُعدّ رمز SAS بشكل خاطئ، مما سمح بالتحكم الكامل بدلاً من الوصول للقراءة فقط، وفقًا لباحثي Wiz. في حال استغلاله، سيتمكن المهاجم ليس فقط من عرض جميع الملفات في حساب التخزين، بل أيضًا من حذفها والكتابة فوقها.
ردًا على التقرير، صرّحت مايكروسوفت بأن تحقيقها لم يعثر على أي دليل على تعرض بيانات العملاء للخطر، ولم تُعرّض أي خدمات داخلية أخرى للخطر نتيجةً لهذا الحادث. وأكدت الشركة أن العملاء ليسوا بحاجة إلى اتخاذ أي إجراء، وأعلنت أنها ألغت رموز SAS وحظرت جميع عمليات الوصول الخارجية إلى حسابات التخزين.
للتخفيف من مخاطر مماثلة، وسّعت مايكروسوفت خدمة الفحص السري للبحث عن أي رموز SAS قد تكون ذات امتيازات محدودة أو مفرطة. كما رصدت خللًا في نظام الفحص يُصنّف عناوين URL الخاصة بـ SAS في المستودع على أنها نتائج إيجابية خاطئة.
يقول الباحثون إنه نظرًا لضعف الأمان والحوكمة في رموز حسابات SAS، فإن الاحتياط هو تجنب استخدامها للمشاركة الخارجية. إذ يمكن تجاوز أخطاء إنشاء الرموز بسهولة، مما قد يؤدي إلى كشف البيانات الحساسة.
في وقت سابق في يوليو 2022، كشفت JUMPSEC Labs عن تهديد قد يستغل هذه الحسابات للوصول إلى الشركات.
تم العثور على ملفات حساسة في النسخة الاحتياطية بواسطة Wiz Research
هذا أحدث اختراق أمني لشركة مايكروسوفت، فقبل أسبوعين كشفت الشركة أيضًا أن قراصنة صينيين اخترقوا وسرقوا مفاتيح عالية الأمان. سيطر القراصنة على حساب مهندس في الشركة، وتمكنوا من الوصول إلى مستودع التوقيعات الرقمية الخاص بالمستخدم.
تُظهر الحادثة الأخيرة المخاطر المحتملة لإدخال الذكاء الاصطناعي في الأنظمة الكبيرة، وفقًا لأمي لوتواك، المديرة التقنية لشركة Wiz CTO، التي ترى أن الذكاء الاصطناعي يوفر إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، مع تسابق علماء ومهندسي البيانات لتطبيق حلول ذكاء اصطناعي جديدة، تتطلب الكميات الهائلة من البيانات التي يعالجونها فحوصات أمنية وإجراءات حماية إضافية.
مع حاجة العديد من فرق التطوير إلى العمل مع كميات هائلة من البيانات، ومشاركة تلك البيانات مع أقرانهم، أو التعاون في مشاريع مفتوحة المصدر عامة، أصبحت الحالات مثل حالة مايكروسوفت أكثر صعوبة في التتبع وتجنبها.
[إعلان 2]
رابط المصدر
![[صورة] الأمين العام تو لام يعمل مع اللجنة الدائمة للجان الحزب الإقليمية في كوانغ بينه وكوانغ تري](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/6/25/6acdc70e139d44beaef4133fefbe2c7f)
تعليق (0)