Des chercheurs de Microsoft en IA exposent accidentellement 38 téraoctets de données confidentielles


19 septembre 2023THNSécurité des données / Cybersécurité

Microsoft a annoncé lundi avoir pris des mesures pour corriger une erreur de sécurité flagrante qui a conduit à l’exposition de 38 téraoctets de données privées.

La fuite a été découverte sur le référentiel AI GitHub de l’entreprise et aurait été rendue publique par inadvertance lors de la publication d’un ensemble de données de formation open source, a déclaré Wiz. Il comprenait également une sauvegarde sur disque des postes de travail de deux anciens employés contenant des secrets, des clés, des mots de passe et plus de 30 000 messages internes des équipes.

Le référentiel, nommé « transfert de modèles robustes« , n’est plus accessible. Avant son retrait, il présentait du code source et des modèles d’apprentissage automatique relatifs à un Document de recherche 2020 titré « Les modèles ImageNet robustes face à l’adversaire se transfèrent-ils mieux ? »

« Cette exposition est le résultat d’une politique trop permissive Jeton SAS – une fonctionnalité Azure qui permet aux utilisateurs de partager des données d’une manière à la fois difficile à suivre et à révoquer, » Wiz dit dans un rapport. Le problème a été signalé à Microsoft le 22 juin 2023.

La cyber-sécurité

Plus précisément, le fichier README.md du référentiel demandait aux développeurs de télécharger les modèles à partir d’une URL de stockage Azure qui accordait également accidentellement l’accès à l’intégralité du compte de stockage, exposant ainsi des données privées supplémentaires.

« En plus de la portée d’accès trop permissive, le jeton a également été mal configuré pour permettre des autorisations de « contrôle total » au lieu de lecture seule », ont déclaré les chercheurs de Wiz Hillai Ben-Sasson et Ronny Greenberg. « Cela signifie que non seulement un attaquant pourrait voir tous les fichiers du compte de stockage, mais il pourrait également supprimer et écraser les fichiers existants. »

IA Microsoft

En réponse aux résultats, Microsoft dit son enquête n’a trouvé aucune preuve d’exposition non autorisée des données des clients et « aucun autre service interne n’a été mis en danger en raison de ce problème ». Il a également souligné que les clients n’avaient aucune mesure à prendre de leur part.

Les fabricants de Windows ont en outre noté qu’il avait révoqué le jeton SAS et bloqué tout accès externe au compte de stockage. Le problème a été résolu deux fois après une divulgation responsable.

IA Microsoft

Pour atténuer ces risques à l’avenir, la société a étendu son service d’analyse secrète pour inclure tout jeton SAS susceptible d’avoir des expirations ou des privilèges trop permissifs. Il a déclaré avoir également identifié un bug dans son système d’analyse qui signalait l’URL SAS spécifique dans le référentiel comme un faux positif.

« En raison du manque de sécurité et de gouvernance des jetons Account SAS, ils devraient être considérés comme aussi sensibles que la clé du compte elle-même », ont déclaré les chercheurs. « Par conséquent, il est fortement recommandé d’éviter d’utiliser le compte SAS pour le partage externe. Les erreurs de création de jetons peuvent facilement passer inaperçues et exposer des données sensibles. »

WEBINAIRE À VENIR

L’identité est le nouveau point de terminaison : maîtriser la sécurité SaaS à l’ère moderne

Plongez dans l’avenir de la sécurité SaaS avec Maor Bin, PDG d’Adaptive Shield. Découvrez pourquoi l’identité est le nouveau point final. Réservez votre place maintenant.

Boostez vos compétences

Ce n’est pas la première fois que des comptes de stockage Azure mal configurés sont révélés. En juillet 2022, les Laboratoires JUMPSEC Souligné un scénario dans lequel un acteur malveillant pourrait profiter de ces comptes pour accéder à un environnement sur site d’entreprise.

Ce développement constitue la dernière erreur de sécurité de Microsoft et survient près de deux semaines après que la société a révélé que des pirates informatiques basés en Chine étaient capables d’infiltrer les systèmes de l’entreprise et de voler une clé de signature très sensible en compromettant le compte d’entreprise d’un ingénieur et en accédant probablement à un vidage sur incident de Microsoft. le système de signature des consommateurs.

« L’IA ouvre un énorme potentiel aux entreprises technologiques. Cependant, alors que les scientifiques et les ingénieurs des données se précipitent pour mettre de nouvelles solutions d’IA en production, les quantités massives de données qu’ils traitent nécessitent des contrôles et des garanties de sécurité supplémentaires », a déclaré Ami Luttwak, CTO et co-fondateur de Wiz. une déclaration.

« Cette technologie émergente nécessite de vastes ensembles de données sur lesquelles s’entraîner. Alors que de nombreuses équipes de développement doivent manipuler d’énormes quantités de données, les partager avec leurs pairs ou collaborer sur des projets publics open source, des cas comme celui de Microsoft sont de plus en plus difficiles à surveiller et à éviter. « 

Vous avez trouvé cet article intéressant ? Suivez-nous sur Twitter et LinkedIn pour lire plus de contenu exclusif que nous publions.





ttn-fr-57