Все о Искусственный интеллект
Исследователи Microsoft в области искусственного интеллекта непреднамеренно раскрыли десятки терабайт конфиденциальных данных, опубликовав хранилище данных обучения с открытым исходным кодом на GitHub. Среди утекших данных — приватные ключи и пароли.
Стартап Wiz, занимающийся облачной безопасностью, поделился своими выводами с TechCrunch, сообщив о существовании репозитория GitHub, принадлежащего исследовательскому подразделению Microsoft в области искусственного интеллекта. Это открытие было сделано в контексте продолжающегося расследования случайного раскрытия данных, размещенных в облаке.
Читать далее:
Что случилось?
- Пользователи GitHub, получившие доступ к репозиторию, обнаружили открытый исходный код и модели искусственного интеллекта для распознавания изображений, и им было предложено загрузить модели из URL-адреса хранилища Azure.
- Однако Wiz обнаружил, что этот URL-адрес был настроен на предоставление разрешений всей учетной записи хранения, что случайно привело к раскрытию дополнительных личных данных.
- Эти данные включали 38 терабайт конфиденциальной информации, например, личные резервные копии персональных компьютеров двух сотрудников Microsoft.
- Кроме того, данные содержали другую конфиденциальную личную информацию, такую как пароли для сервисов Microsoft, секретные ключи и более 30 000 внутренних сообщений Microsoft Teams от сотен сотрудников компании.
- По словам Wiz, URL-адрес, по которому были предоставлены эти данные, не был защищен с 2020 года, а также был неправильно настроен, что давало «полный контроль» вместо разрешений «только чтение».
- Это означало, что любой, кто знал, где искать, потенциально мог удалить, заменить и вставить вредоносный контент.
- Виз отметил, что учетная запись хранения не была открыта напрямую. Вместо этого разработчики искусственного интеллекта Microsoft включили в URL-адрес слишком разрешительный токен подписи общего доступа (SAS).
- Токены SAS — это механизм, используемый Azure, который позволяет пользователям создавать общие ссылки, предоставляющие доступ к данным в учетной записи хранения Azure.
ИИ открывает огромный потенциал для технологических компаний. Однако по мере того, как специалисты по данным и инженеры спешат разрабатывать новые решения искусственного интеллекта, огромные объемы данных, которыми они манипулируют, требуют дополнительных проверок безопасности и мер безопасности. Поскольку многим командам разработчиков приходится манипулировать большими объемами данных, делиться ими со своими коллегами или сотрудничать в общедоступных проектах с открытым исходным кодом, такие случаи, как Microsoft, становится все труднее отслеживать и предотвращать.
Ами Латтвак, соучредитель и технический директор Wiz
Microsoft была проинформирована
Wiz проинформировала Microsoft о своих выводах 22 июня, а через два дня, 24 июня, Microsoft отозвала токен SAS. Microsoft заявила, что завершила расследование потенциального организационного воздействия 16 августа.
В общедоступном сообщении в блоге, к которому TechCrunch заявил, что у него был доступ до публикации, Центр реагирования безопасности Microsoft заявил, что «никакие данные клиентов не были раскрыты, и никакие другие внутренние службы не подверглись риску из-за этой проблемы».
Microsoft также объявила, что в результате исследования Wiz она расширила свой сервис GitHub, чтобы отслеживать все общедоступные изменения в открытом исходном коде для раскрытия учетных данных и других секретов в открытом виде. Сюда входят любые токены SAS, у которых может быть срок действия или чрезмерно разрешительные привилегии.
Смотрели ли вы новые видео на YouTube от Olhar Digital? Подпишитесь на канал!