Исследователи из Wiz сообщили в понедельник , что из-за неправильной конфигурации исследователи искусственного интеллекта из Microsoft раскрыли 38 терабайт конфиденциальных внутренних данных, включая ключи подписей, пользователям GitHub.
Ошибка произошла, когда сотрудник Microsoft опубликовал данные для обучения с открытым исходным кодом в корпоративном репозитории GitHub, предоставляющем открытый исходный код и модели ИИ для распознавания изображений от исследовательского подразделения Microsoft в области ИИ. Пользователям было предложено загрузить данные по неправильно настроенной ссылке, которая вместо этого открывала доступ к 38 ТБ внутренних данных, включая 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft, пароли к сервисам Microsoft и секретные ключи.
Microsoft сообщила в своем блоге , что никакие данные клиентов не были раскрыты .
Сообщения о неправильно настроенном хранилище данных, поступившие в понедельник, стали последним в череде громких сбоев в системе безопасности Microsoft и появились через две недели после того, как компания раскрыла , как хакеры из Китая смогли проникнуть в системы компании и украсть конфиденциальный ключ подписи.
В инциденте, о котором стало известно в понедельник, данные передавались через токен SAS. Это означает, что, хотя данные не были напрямую доступны в интернете, любой, получивший ссылку, мог получить к ним доступ. Ссылка также была настроена таким образом, что любой, у кого был доступ, мог не только читать, но и удалять и перезаписывать файлы. Исследователи Wiz отмечают, что такой доступ потенциально позволял хакерам внедрить вредоносный код в данные для обучения ИИ.
«Этот случай — пример новых рисков, с которыми сталкиваются организации, начиная более широко использовать возможности ИИ, поскольку всё больше их инженеров теперь работают с огромными объёмами обучающих данных», — пишут исследователи Wiz Хиллаи Бен-Сассон и Ронни Гринберг. «Поскольку специалисты по данным и инженеры спешат внедрить новые решения ИИ в эксплуатацию, огромные объёмы данных, с которыми они работают, требуют дополнительных проверок безопасности и мер защиты».
Исследователи Wiz утверждают, что этот инцидент выявил уязвимость токенов SAS. Как только хакер получает доступ к данным, предоставленным через токен SAS, отозвать разрешение становится сложно, а многие токены SAS имеют длительный срок службы, отмечают исследователи.
«Из-за отсутствия безопасности и управления токенами Account SAS их следует считать столь же конфиденциальными, как и сам ключ учётной записи», — предлагают исследователи. «Поэтому настоятельно рекомендуется избегать использования Account SAS для внешнего обмена. Ошибки при создании токенов могут легко остаться незамеченными и привести к раскрытию конфиденциальных данных».
Компания Wiz сотрудничала с Microsoft в рамках программы раскрытия уязвимостей и раскрыла раскрытые данные в июне. Microsoft заявила, что расширила свой сервис сканирования на предмет раскрытия учётных данных, включив в него все токены SAS с «чрезмерно разрешёнными сроками действия или привилегиями».
«Как и любые секретные данные, токены SAS необходимо создавать и использовать надлежащим образом. Как всегда, мы настоятельно рекомендуем клиентам следовать нашим рекомендациям при использовании токенов SAS, чтобы минимизировать риск непреднамеренного доступа или злоупотребления», — говорится в сообщении Microsoft в блоге. «Microsoft также постоянно совершенствует свой набор инструментов обнаружения и сканирования, чтобы заблаговременно выявлять случаи избыточного выделения URL-адресов SAS и укреплять нашу позицию «безопасности по умолчанию»
Ошибка произошла, когда сотрудник Microsoft опубликовал данные для обучения с открытым исходным кодом в корпоративном репозитории GitHub, предоставляющем открытый исходный код и модели ИИ для распознавания изображений от исследовательского подразделения Microsoft в области ИИ. Пользователям было предложено загрузить данные по неправильно настроенной ссылке, которая вместо этого открывала доступ к 38 ТБ внутренних данных, включая 30 000 внутренних сообщений Microsoft Teams от 359 сотрудников Microsoft, пароли к сервисам Microsoft и секретные ключи.
Microsoft сообщила в своем блоге , что никакие данные клиентов не были раскрыты .
Сообщения о неправильно настроенном хранилище данных, поступившие в понедельник, стали последним в череде громких сбоев в системе безопасности Microsoft и появились через две недели после того, как компания раскрыла , как хакеры из Китая смогли проникнуть в системы компании и украсть конфиденциальный ключ подписи.
В инциденте, о котором стало известно в понедельник, данные передавались через токен SAS. Это означает, что, хотя данные не были напрямую доступны в интернете, любой, получивший ссылку, мог получить к ним доступ. Ссылка также была настроена таким образом, что любой, у кого был доступ, мог не только читать, но и удалять и перезаписывать файлы. Исследователи Wiz отмечают, что такой доступ потенциально позволял хакерам внедрить вредоносный код в данные для обучения ИИ.
«Этот случай — пример новых рисков, с которыми сталкиваются организации, начиная более широко использовать возможности ИИ, поскольку всё больше их инженеров теперь работают с огромными объёмами обучающих данных», — пишут исследователи Wiz Хиллаи Бен-Сассон и Ронни Гринберг. «Поскольку специалисты по данным и инженеры спешат внедрить новые решения ИИ в эксплуатацию, огромные объёмы данных, с которыми они работают, требуют дополнительных проверок безопасности и мер защиты».
Исследователи Wiz утверждают, что этот инцидент выявил уязвимость токенов SAS. Как только хакер получает доступ к данным, предоставленным через токен SAS, отозвать разрешение становится сложно, а многие токены SAS имеют длительный срок службы, отмечают исследователи.
«Из-за отсутствия безопасности и управления токенами Account SAS их следует считать столь же конфиденциальными, как и сам ключ учётной записи», — предлагают исследователи. «Поэтому настоятельно рекомендуется избегать использования Account SAS для внешнего обмена. Ошибки при создании токенов могут легко остаться незамеченными и привести к раскрытию конфиденциальных данных».
Компания Wiz сотрудничала с Microsoft в рамках программы раскрытия уязвимостей и раскрыла раскрытые данные в июне. Microsoft заявила, что расширила свой сервис сканирования на предмет раскрытия учётных данных, включив в него все токены SAS с «чрезмерно разрешёнными сроками действия или привилегиями».
«Как и любые секретные данные, токены SAS необходимо создавать и использовать надлежащим образом. Как всегда, мы настоятельно рекомендуем клиентам следовать нашим рекомендациям при использовании токенов SAS, чтобы минимизировать риск непреднамеренного доступа или злоупотребления», — говорится в сообщении Microsoft в блоге. «Microsoft также постоянно совершенствует свой набор инструментов обнаружения и сканирования, чтобы заблаговременно выявлять случаи избыточного выделения URL-адресов SAS и укреплять нашу позицию «безопасности по умолчанию»
