Microsoft Pazartesi günü yaptığı açıklamada, 38 terabaytlık özel verinin açığa çıkmasına neden olan göze çarpan bir güvenlik gafını düzeltmek için adımlar attığını söyledi.
Wiz, sızıntının şirketin AI GitHub deposunda keşfedildiğini ve bir dizi açık kaynak eğitim verisi yayınlanırken yanlışlıkla kamuya açıklandığının söylendiğini söyledi. Ayrıca iki eski çalışanın iş istasyonunun sırları, anahtarlarını, parolalarını ve 30.000’den fazla dahili Teams mesajını içeren bir disk yedeğini de içeriyordu.
“adlı deposağlam-modeller-transferi,” artık erişilebilir değil. Yayından kaldırılmadan önce, bir konuyla ilgili kaynak kodu ve makine öğrenimi modellerini içeriyordu. 2020 araştırma makalesi başlıklı “Rakiplere Karşı Sağlam ImageNet Modelleri Daha İyi Aktarır mı?”
“Bu açığa çıkma aşırı hoşgörülü tutumun bir sonucu olarak ortaya çıktı SAS jetonu – kullanıcıların verileri hem takip edilmesi hem de iptal edilmesi zor bir şekilde paylaşmasına olanak tanıyan bir Azure özelliği.” Wiz söz konusu bir raporda. Sorun 22 Haziran 2023’te Microsoft’a bildirildi.
Spesifik olarak, deponun README.md dosyası, geliştiricilere modelleri, yanlışlıkla tüm depolama hesabına erişim izni veren ve böylece ek özel verileri açığa çıkaran bir Azure Depolama URL’sinden indirmeleri talimatını verdi.
Wiz araştırmacıları Hillai Ben-Sasson ve Ronny Greenberg, “Aşırı izin veren erişim kapsamına ek olarak, token salt okunur yerine “tam kontrol” izinlerine izin verecek şekilde yanlış yapılandırıldı.” dedi. “Yani, bir saldırgan yalnızca depolama hesabındaki tüm dosyaları görüntülemekle kalmaz, aynı zamanda mevcut dosyaları da silebilir ve üzerine yazabilir.”
Bulgulara yanıt olarak Microsoft söz konusu soruşturmasında müşteri verilerinin izinsiz olarak açığa çıktığına dair hiçbir kanıt bulunamadı ve “bu sorun nedeniyle başka hiçbir dahili hizmetin riske atılmadığı” belirtildi. Ayrıca müşterilerin kendi taraflarında herhangi bir işlem yapmasına gerek olmadığı da vurgulandı.
Windows yapımcıları ayrıca SAS belirtecinin iptal edildiğini ve depolama hesabına tüm harici erişimin engellendiğini belirtti. Sorun, sorumluların ifşa edilmesinden iki gün sonra çözüldü.
İleriye dönük bu tür riskleri azaltmak için şirket, gizli tarama hizmetini, aşırı izin verilen son kullanma tarihlerine veya ayrıcalıklara sahip olabilecek tüm SAS tokenlerini içerecek şekilde genişletti. Ayrıca tarama sisteminde, depodaki belirli SAS URL’sini yanlış pozitif olarak işaretleyen bir hata tespit ettiğini söyledi.
Araştırmacılar, “Hesap SAS tokenleri üzerinde güvenlik ve yönetim eksikliği nedeniyle bunların hesap anahtarının kendisi kadar hassas olduğu düşünülmelidir” dedi. “Bu nedenle, harici paylaşım için Hesap SAS’ı kullanmaktan kaçınmanız önemle tavsiye edilir. Token oluşturma hataları kolayca fark edilmeyebilir ve hassas verileri açığa çıkarabilir.”
Yapay Zeka ve Yapay Zeka: Yapay Zeka Destekli Risklere Karşı Yapay Zeka Savunmalarından Yararlanma
Yapay zekanın yönlendirdiği yeni siber güvenlik zorluklarının üstesinden gelmeye hazır mısınız? Siber güvenlikte artan üretken yapay zeka tehdidini ele almak için Zscaler ile kapsamlı web seminerimize katılın.
Bu, yanlış yapılandırılmış Azure depolama hesaplarının ilk kez gün yüzüne çıkması değil. Temmuz 2022’de JUMPSEC Laboratuvarları vurgulanmış Bir tehdit aktörünün kurumsal bir şirket içi ortama erişim sağlamak için bu tür hesaplardan yararlanabileceği bir senaryo.
Bu gelişme, Microsoft’un en son güvenlik gafıdır ve şirketin, Çin merkezli bilgisayar korsanlarının şirketin sistemlerine sızabildiklerini ve bir mühendisin kurumsal hesabını ele geçirerek ve muhtemelen bir çökme dökümüne erişerek son derece hassas bir imzalama anahtarını çalabildiklerini açıklamasından yaklaşık iki hafta sonra gerçekleşti. Tüketici imzalama sistemi.
Wiz CTO’su ve kurucu ortağı Ami Luttwak şunları söyledi: “Yapay zeka, teknoloji şirketleri için büyük bir potansiyelin kilidini açıyor. Ancak veri bilimcileri ve mühendisler, üretime yeni yapay zeka çözümleri getirmek için yarıştıkça, işledikleri büyük miktardaki veri, ek güvenlik kontrolleri ve önlemleri gerektiriyor.” Bir deyim.
“Gelişmekte olan bu teknoloji, üzerinde eğitim verilecek büyük veri kümeleri gerektiriyor. Birçok geliştirme ekibinin büyük miktarda veriyi işlemesi, bunu meslektaşlarıyla paylaşması veya kamuya açık açık kaynak projelerde işbirliği yapması gerektiğinden, Microsoft’unki gibi vakaları izlemek ve bunlardan kaçınmak giderek zorlaşıyor. “