«Microsoft случайно опубликовала 38 ТБ частных данных | ENBLE»
Microsoft accidentally published 38TB of private data | ENBLE
Только что стало известно, что исследователи Microsoft случайно утечку 38 ТБ конфиденциальной информации на странице GitHub компании, где потенциально любой мог увидеть ее. Среди сокровищницы данных была резервная копия рабочих станций двух бывших сотрудников, которая содержала ключи, пароли, секреты и более 30 000 личных сообщений Teams.
По данным компании по облачной безопасности Wiz, утечка была опубликована в репозитории GitHub искусственного интеллекта (AI) Microsoft и случайно была включена в пакет открытых тренировочных данных. Это означает, что посетителям репозитория рекомендовалось его загрузить, что означает, что он мог попасть в неправильные руки снова и снова.
Утечки данных могут происходить из самых разных источников, но для Microsoft это будет особенно неловко, что эта утечка исходит от собственных исследователей искусственного интеллекта. В отчете Wiz указано, что Microsoft загрузил данные с использованием токенов Shared Access Signature (SAS), функции Azure, которая позволяет пользователям обмениваться данными через учетные записи хранения Azure.
Посетителям репозитория было сказано скачать тренировочные данные по предоставленному URL-адресу. Однако веб-адрес предоставлял доступ к гораздо большему, чем только запланированным тренировочным данным, и позволял пользователям просматривать файлы и папки, предназначенные не для публичного доступа.
Полный контроль
Ситуация становится еще хуже. Как сообщает Wiz, токен доступа, который позволял все это, был неправильно настроен, чтобы предоставить полные разрешения на управление, а не только на чтение с более ограниченными разрешениями. На практике это означало, что любой, кто посетил URL-адрес, мог удалить и перезаписать найденные файлы, а не только просмотреть их.
- Приготовьтесь к чатботам искусственного интеллекта, которые выполня...
- Apple выпускает программное обеспечение HomePod 17 с улучшением Sir...
- Apple запускает новые планы iCloud+ на 6 ТБ и 12 ТБ
Wiz объясняет, что это могло иметь серьезные последствия. Поскольку репозиторий был полон тренировочных данных по искусственному интеллекту, намерением было, чтобы пользователи скачали их и подали на вход в скрипт, тем самым улучшив свои собственные модели искусственного интеллекта.
Однако, поскольку он был открыт для манипуляции благодаря неправильной конфигурации разрешений, “злоумышленник мог внедрить вредоносный код во все модели искусственного интеллекта в этой учетной записи хранения, и каждый пользователь, доверяющий репозиторию GitHub Microsoft, был бы заражен им”, – объясняет Wiz.
Потенциальная катастрофа
Отчет также отмечает, что создание токенов SAS – которые предоставляют доступ к папкам Azure Storage, таким как эта – не создает никакого следа, что означает, что “администратор не может знать о существовании этого токена и о его распространении”. Когда у токена есть полные разрешения доступа, как у этого, результаты могут быть потенциально катастрофическими.
К счастью, Wiz объясняет, что они сообщили об этой проблеме Microsoft в июне 2023 года. Утечка SAS-токена была заменена в июле, и Microsoft завершил внутреннее расследование в августе. Произошедшее нарушение безопасности только что было сообщено общественности, чтобы дать время полностью исправить его.
Это напоминает, что даже видимо безобидные действия могут потенциально привести к утечкам данных. К счастью, проблема была устранена, но неизвестно, получили ли хакеры доступ к каким-либо чувствительным данным пользователей до их удаления.
