Microsoft hôm thứ Hai cho biết họ đã thực hiện các bước để khắc phục lỗi bảo mật rõ ràng dẫn đến việc 38 terabyte dữ liệu riêng tư bị lộ.
Wiz cho biết, vụ rò rỉ được phát hiện trên kho lưu trữ AI GitHub của công ty và được cho là đã vô tình bị công khai khi xuất bản một nhóm dữ liệu đào tạo nguồn mở. Nó cũng bao gồm một bản sao lưu đĩa của máy trạm của hai nhân viên cũ chứa bí mật, khóa, mật khẩu và hơn 30.000 tin nhắn nội bộ của Nhóm.
Kho lưu trữ có tên " Robust-models-transfer " không thể truy cập được nữa. Trước khi bị gỡ bỏ, nó đã giới thiệu mã nguồn và các mô hình học máy liên quan đến một bài nghiên cứu năm 2020 có tiêu đề "Các mô hình ImageNet mạnh mẽ đối nghịch có chuyển giao tốt hơn không?"
Wiz cho biết trong một báo cáo: “Việc lộ dữ liệu xảy ra do mã thông báo SAS quá dễ dãi – một tính năng Azure cho phép người dùng chia sẻ dữ liệu theo cách vừa khó theo dõi vừa khó thu hồi”. Sự cố đã được báo cáo cho Microsoft vào ngày 22 tháng 6 năm 2023.
Cụ thể, tệp README.md của kho lưu trữ đã hướng dẫn các nhà phát triển tải xuống các mô hình từ URL Bộ lưu trữ Azure vô tình cũng cấp quyền truy cập vào toàn bộ tài khoản lưu trữ, do đó làm lộ thêm dữ liệu riêng tư.
Các nhà nghiên cứu Hillai Ben-Sasson và Ronny Greenberg của Wiz cho biết: “Ngoài phạm vi truy cập quá mức cho phép, mã thông báo cũng bị định cấu hình sai để cho phép các quyền” kiểm soát hoàn toàn “thay vì chỉ đọc”. "Có nghĩa là, kẻ tấn công không chỉ có thể xem tất cả các tệp trong tài khoản lưu trữ mà còn có thể xóa và ghi đè các tệp hiện có."
Đáp lại những phát hiện này, Microsoft cho biết cuộc điều tra của họ không tìm thấy bằng chứng nào về việc dữ liệu khách hàng bị lộ trái phép và "không có dịch vụ nội bộ nào khác gặp rủi ro vì vấn đề này". Nó cũng nhấn mạnh rằng khách hàng không cần phải thực hiện bất kỳ hành động nào từ phía họ.
Các nhà sản xuất Windows lưu ý thêm rằng họ đã thu hồi mã thông báo SAS và chặn tất cả quyền truy cập từ bên ngoài vào tài khoản lưu trữ. Vấn đề đã được giải quyết hai sau khi tiết lộ có trách nhiệm.
Để giảm thiểu những rủi ro như vậy trong tương lai, công ty đã mở rộng dịch vụ quét bí mật của mình để bao gồm bất kỳ mã thông báo SAS nào có thể có thời hạn hoặc đặc quyền quá mức cho phép. Họ cho biết họ cũng đã xác định được một lỗi trong hệ thống quét của mình đã gắn cờ URL SAS cụ thể trong kho lưu trữ là dương tính giả.
Các nhà nghiên cứu cho biết: “Do thiếu tính bảo mật và quản trị đối với mã thông báo Tài khoản SAS, chúng nên được coi là nhạy cảm như chính khóa tài khoản”. "Do đó, chúng tôi khuyên bạn nên tránh sử dụng Tài khoản SAS để chia sẻ ra bên ngoài. Lỗi tạo mã thông báo có thể dễ dàng bị bỏ qua và làm lộ dữ liệu nhạy cảm."
Đây không phải là lần đầu tiên tài khoản lưu trữ Azure bị định cấu hình sai bị phát hiện. Vào tháng 7 năm 2022, JUMPSEC Labs đã nêu bật một tình huống trong đó kẻ tấn công có thể lợi dụng những tài khoản đó để giành quyền truy cập vào môi trường tại chỗ của doanh nghiệp.
Sự phát triển này là sai lầm bảo mật mới nhất của Microsoft và xảy ra gần hai tuần sau khi công ty tiết lộ rằng tin tặc có trụ sở tại Trung Quốc đã có thể xâm nhập vào hệ thống của công ty và đánh cắp khóa ký có độ nhạy cao bằng cách xâm phạm tài khoản công ty của một kỹ sư và có khả năng truy cập vào kho dữ liệu bị lỗi. hệ thống chữ ký của người tiêu dùng.
Wiz CTO và đồng sáng lập Ami Luttwak cho biết: "AI mở ra tiềm năng to lớn cho các công ty công nghệ. Tuy nhiên, khi các nhà khoa học và kỹ sư dữ liệu chạy đua đưa các giải pháp AI mới vào sản xuất, lượng dữ liệu khổng lồ mà họ xử lý đòi hỏi phải có các biện pháp bảo vệ và kiểm tra bảo mật bổ sung". bản tường trình.
"Công nghệ mới nổi này đòi hỏi những bộ dữ liệu lớn để đào tạo. Với nhiều nhóm phát triển cần thao tác với lượng dữ liệu khổng lồ, chia sẻ dữ liệu đó với các đồng nghiệp của họ hoặc cộng tác trong các dự án nguồn mở công cộng, những trường hợp như của Microsoft ngày càng khó theo dõi và tránh khỏi. "