BIZIT 2024

Microsoftovi AI istraživači greškom otkrili 38TB podataka

Putem SAS linka omogućen je pristup svim podacima i resursima koji se nalaze u Azure skladištu.

PCPress.rs Image

Microsoft je preduzeo korake kako rešio ovaj problem

Tim istraživača za veštačku inteligenciju kompanije Microsoft koji je postavio podatake za obuku na GitHub-u u nameri da ponudi drugim istraživačima otvoren kod i modele za prepoznavanje slika nesvesno je izložio 38TB ličnih podataka.

Wiz, firma za sajber bezbednost, otkrila je link koji se nalazi u datotekama koje sadrže rezervne kopije računara zaposlenih u Microsoft-u. Te rezervne kopije sadrže lozinke za Microsoft-ove usluge, tajne ključeve i preko 30.000 internih poruka stotine zaposlenih u ovoj tehnološkoj gigantskoj kompaniji, navodi Wiz. Međutim, Microsoft tvrdi u svom izveštaju da “nije izložen nijedan podatak korisnika i da druge interne usluge nisu bile ugrožene.”

Link je namerno uključen u datoteke kako bi zainteresovani istraživači mogli da preuzmu prethodno obučene modele. Taj deo nije greškom postavljen. Istraživači Microsoft-a koristili su Azure funkciju nazvanu “SAS tokeni”. Funkcija omogućuje korisnicima da kreiraju deljene linkove koji pružaju drugim ljudima pristup podacima u njihovom Azure Storage nalogu. Korisnici mogu da odaberu koji podaci mogu biti dostupni putem SAS linkova, bilo da se radi o jednoj datoteci ili celom skladištu. U slučaju Microsoft-a, istraživači su podelili link koji je imao pristup celom nalogu za skladište.

Pročitajte i:  4 načina da zaštitite svoje važne beleške

Važno je da SAS tokeni budu pravilno kreirani

Wiz je otkrio i prijavio ovaj sigurnosni problem Microsoft-u 22. juna. Zatim, kompanija je opozvala SAS (Shared Access Signature) token 23. juna. Microsoft je takođe objasnio da ponovo skenira sva svoja javna skladišta. Međutim, kompanija navodi da je njihov sistem označio ovaj konkretan link kao “lažno pozitivan.”

Microsoft je preduzeo korake kako bi popravio ovaj problem. Kompanija je osigurala da njihov sistem može u budućnosti prepoznati SAS tokene koji su postavljeni tako da omogućuju pristup većem broju resursa nego što je to planirano ili dozvoljeno. Iako su ispravili određeni link koji je Wiz otkrio, nepravilno konfigurisani SAS tokeni mogu predstavljati rizik od curenja podataka. Takođe, mogu napraviti ozbiljne probleme sa privatnošću. Microsoft priznaje da je važno da SAS tokeni budu pravilno kreirani. Takođe, kompanija je objavila i listu najboljih praksi pri njihovom korišćenju, za koju se nadamo da primenjuje i sama.

Izvor: Engadget

Facebook komentari:
Računari i Galaksija
Tagovi: ,