sadawatan
قالت شركة مايكروسوفت يوم الاثنين إنها اتخذت خطوات لتصحيح خطأ أمني صارخ أدى إلى كشف 38 تيرابايت من البيانات الخاصة.
وقال ويز إنه تم اكتشاف التسرب في مستودع AI GitHub الخاص بالشركة، ويقال إنه تم الإعلان عنه عن غير قصد عند نشر مجموعة من بيانات التدريب مفتوحة المصدر. كما يتضمن أيضًا نسخة احتياطية على القرص لمحطتي عمل للموظفين السابقين تحتوي على أسرار ومفاتيح وكلمات مرور وأكثر من 30000 رسالة داخلية في Teams.
لم يعد من الممكن الوصول إلى المستودع المسمى “Robust-models-transfer”. قبل إزالته، كان يحتوي على كود المصدر ونماذج التعلم الآلي المتعلقة بورقة بحثية لعام 2020 بعنوان “Do Adversarially Robust ImageNet Models Transfer Better؟”
وقال ويز في تقرير: “جاء التعرض نتيجة لرمز SAS شديد التساهل – وهي ميزة Azure تسمح للمستخدمين بمشاركة البيانات بطريقة يصعب تتبعها ويصعب إبطالها”. تم الإبلاغ عن المشكلة إلى Microsoft في 22 يونيو 2023.
على وجه التحديد، أصدر ملف README.md الخاص بالمستودع تعليمات للمطورين بتنزيل النماذج من عنوان URL الخاص بتخزين Azure والذي منح أيضًا عن طريق الخطأ حق الوصول إلى حساب التخزين بالكامل، وبالتالي الكشف عن بيانات خاصة إضافية.
وقال الباحثان في ويز، هيلاي بن ساسون وروني جرينبيرج: “بالإضافة إلى نطاق الوصول المفرط في التساهل، تم أيضًا تكوين الرمز بشكل خاطئ للسماح بأذونات “التحكم الكامل” بدلاً من القراءة فقط”. “بمعنى، لا يستطيع المهاجم عرض جميع الملفات الموجودة في حساب التخزين فحسب، بل يمكنه حذف الملفات الموجودة والكتابة فوقها أيضًا.”
ردًا على النتائج، قالت مايكروسوفت إن تحقيقها لم يجد أي دليل على الكشف غير المصرح به لبيانات العملاء وأنه “لم يتم تعريض أي خدمات داخلية أخرى للخطر بسبب هذه المشكلة”. وشددت أيضًا على أن العملاء لا يحتاجون إلى اتخاذ أي إجراء من جانبهم.
لاحظ صانعو Windows أيضًا أنهم قاموا بإلغاء رمز SAS المميز وحظر كل الوصول الخارجي إلى حساب التخزين. تم حل المشكلة بعد الكشف المسؤول.
وللتخفيف من هذه المخاطر في المستقبل، قامت الشركة بتوسيع خدمة المسح السري الخاصة بها لتشمل أي رمز SAS قد يكون له فترات انتهاء صلاحية أو امتيازات مفرطة. وقالت إنها حددت أيضًا خطأً في نظام المسح الخاص بها والذي وضع علامة على عنوان URL المحدد لـ SAS في المستودع باعتباره إيجابيًا كاذبًا.
وقال الباحثون: “بسبب الافتقار إلى الأمن والحوكمة على الرموز المميزة لحساب SAS، يجب اعتبارها حساسة مثل مفتاح الحساب نفسه”. “لذلك، يوصى بشدة بتجنب استخدام حساب SAS للمشاركة الخارجية. يمكن أن تمر أخطاء إنشاء الرمز المميز بسهولة دون أن يلاحظها أحد وتكشف البيانات الحساسة.”
الهوية هي نقطة النهاية الجديدة: إتقان أمان SaaS في العصر الحديث
تعمق في مستقبل أمان SaaS مع Maor Bin، الرئيس التنفيذي لشركة Adaptive Shield. اكتشف لماذا تعتبر الهوية نقطة النهاية الجديدة. قم بتأمين مكانك الآن.
اشحن مهاراتك
ليست هذه هي المرة الأولى التي تظهر فيها حسابات تخزين Azure التي تم تكوينها بشكل خاطئ. في يوليو 2022، سلطت JUMPSEC Labs الضوء على سيناريو يمكن فيه لممثل التهديد الاستفادة من هذه الحسابات للوصول إلى بيئة المؤسسة الداخلية.
يعد هذا التطوير أحدث خطأ أمني في Microsoft ويأتي بعد أسبوعين تقريبًا من كشف الشركة عن أن المتسللين المقيمين في الصين تمكنوا من التسلل إلى أنظمة الشركة وسرقة مفتاح توقيع حساس للغاية من خلال اختراق حساب الشركة الخاص بالمهندس ومن المحتمل الوصول إلى تفريغ الأعطال نظام توقيع المستهلك
“يفتح الذكاء الاصطناعي إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، بينما يتسابق علماء البيانات والمهندسون لتقديم حلول ذكاء اصطناعي جديدة للإنتاج، فإن الكميات الهائلة من البيانات التي يتعاملون معها تتطلب فحوصات وضمانات أمنية إضافية،” قال Wiz CTO والمؤسس المشارك Ami Luttwak في تصريح.
“تتطلب هذه التكنولوجيا الناشئة مجموعات كبيرة من البيانات للتدريب عليها. ومع حاجة العديد من فرق التطوير إلى التعامل مع كميات هائلة من البيانات أو مشاركتها مع أقرانهم أو التعاون في مشاريع عامة مفتوحة المصدر، تزداد صعوبة مراقبة حالات مثل حالة Microsoft وتجنبها. “
