محققان هوش مصنوعی مایکروسافت ۳۸ ترابایت داده حساس را افشا کردند.

نسخه پشتیبان شامل اسرار، کلیدهای خصوصی، رمزهای عبور و بیش از ۳۰۰۰۰ پیام داخلی تیم مایکروسافت است.
داده‌ها به دلیل پیکربندی اشتباه امضای دسترسی مشترک (SAS) در معرض دید قرار گرفتند.
توکن‌های SAS در صورت عدم استفاده صحیح می‌توانند یک خطر امنیتی باشند، زیرا می‌توانند سطوح بالایی از دسترسی به داده‌های Azure Storage را فراهم کنند.
سازمان ها باید قبل از استفاده از توکن های SAS نیازهای امنیتی خود را به دقت در نظر بگیرند.
تیم تحقیقاتی Wiz به عنوان بخشی از کار مداوم خود بر روی قرار گرفتن تصادفی داده های میزبانی شده در فضای ابری، اینترنت را برای ظروف ذخیره سازی پیکربندی نادرست اسکن کردند. در این فرآیند، آنها یک مخزن GitHub تحت سازمان مایکروسافت به نام robust-models-transfer پیدا کردند. این مخزن متعلق به بخش تحقیقات هوش مصنوعی مایکروسافت است که هدف آن ارائه کد منبع باز و مدل های هوش مصنوعی برای تشخیص تصویر است.
پس از حفاری بیشتر، مشخص شد که محققان هوش مصنوعی مایکروسافت به طور تصادفی ۳۸ ترابایت داده خصوصی، از جمله پشتیبان‌گیری دیسک از ایستگاه‌های کاری دو کارمند را در حین انتشار یک سطل از داده‌های آموزشی منبع باز در GitHub افشا کردند . نسخه پشتیبان شامل اسرار، کلیدهای خصوصی، رمزهای عبور و بیش از ۳۰۰۰۰ پیام داخلی تیم مایکروسافت بود.
با این حال، URL برای مخزن اجازه دسترسی به مدل‌های متن باز را می‌داد. برای اعطای مجوز به کل حساب ذخیره سازی پیکربندی شده است و به اشتباه داده های خصوصی اضافی را در معرض دید قرار می دهد.
اسکن Wiz نشان داد که این حساب حاوی ۳۸ ترابایت داده اضافی از جمله نسخه پشتیبان رایانه شخصی کارکنان مایکروسافت است. پشتیبان‌گیری‌ها حاوی اطلاعات شخصی حساس، از جمله رمز عبور سرویس‌های مایکروسافت، کلیدهای مخفی و بیش از ۳۰۰۰۰ پیام داخلی Microsoft Teams از ۳۵۹ کارمند مایکروسافت بود.
در دست بازیگران تهدید، این داده ها می توانست برای غول فناوری ویرانگر باشد، به ویژه با توجه به شرایط فعلی. مایکروسافت اخیرا فاش کرده است که چگونه عناصر مخرب مشتاق سوء استفاده از تیم های مایکروسافت برای تسهیل حملات باج افزار هستند.
۵
نشانی وب در معرض نمایش، چت های تیم MS و موارد دیگر (اعتبار: WIZ)
با توجه به پست وبلاگ Wiz ، علاوه بر دامنه دسترسی بیش از حد مجاز، این توکن نیز برای اجازه دادن به مجوزهای “کنترل کامل” به جای فقط خواندنی، پیکربندی اشتباهی داشت. این بدان معنی است که نه تنها مهاجم می تواند تمام فایل های موجود در حساب ذخیره سازی را مشاهده کند، بلکه می تواند فایل های موجود را نیز حذف و بازنویسی کند.
این به خصوص با توجه به هدف اصلی مخزن جالب است: ارائه مدل های هوش مصنوعی برای استفاده در کد آموزشی. مخزن به کاربران دستور می دهد که یک فایل داده مدل را از پیوند SAS دانلود کرده و آن را به یک اسکریپت وارد کنند.
فرمت فایل ckpt بود، فرمتی که توسط کتابخانه TensorFlow تولید شد. با استفاده از شکل‌دهنده ترشی پایتون، که مستعد اجرای کد دلخواه توسط طراحی است، قالب‌بندی شده است. این بدان معناست که یک مهاجم می‌توانست کد مخربی را به تمام مدل‌های هوش مصنوعی در این حساب ذخیره‌سازی تزریق کند و هر کاربری که به مخزن GitHub مایکروسافت اعتماد داشته باشد توسط آن آلوده می‌شود.
در پاسخ به این خبر، اندرو ویلی ، مدیر فنی ارشد در شرکت امنیت سایبری نروژی پرومون ، گفت: «مایکروسافت ممکن است یکی از پیشتازان در رقابت هوش مصنوعی باشد، اما باورش سخت است که در مورد امنیت سایبری چنین باشد. تایتان فناوری در سال‌های اخیر گام‌های بزرگ فناوری برداشته است. با این حال، این حادثه به عنوان یک یادآوری عمل می کند که حتی پروژه هایی با بهترین نیت می توانند به طور ناخواسته اطلاعات حساس را افشا کنند.
«امضای دسترسی مشترک (SAS) اگر با نهایت دقت مدیریت نشود، خطر امنیت سایبری قابل توجهی است. اگرچه آنها بدون شک ابزار ارزشمندی برای همکاری و اشتراک گذاری داده ها هستند، اما در صورت پیکربندی اشتباه یا استفاده نادرست می توانند به یک شمشیر دولبه تبدیل شوند. اندرو هشدار داد که وقتی توکن‌های SAS بیش از حد مجاز صادر می‌شوند یا به‌طور ناخواسته در معرض دید قرار می‌گیرند، مانند این است که کلیدهای درب ورودی خود را به میل خود به یک سارق تحویل دهید.
او تاکید کرد که «میکروسافت در صورتی که کنترل‌های دسترسی سخت‌گیرانه‌تری را اجرا می‌کرد، به طور منظم ممیزی و باطل می‌کرد و به طور کامل به کارکنان خود در مورد اهمیت حفاظت از این اعتبارنامه‌ها آموزش می‌داد، احتمالاً می‌توانست از این نقض جلوگیری کند. علاوه بر این، نظارت مستمر و ابزارهای خودکار برای شناسایی توکن‌های بیش از حد مجاز SAS نیز می‌تواند از این اشتباه جلوگیری کند.
Tal Skverer ، محقق ارشد Astrix Security گفت: “نشت توکن SAS در مایکروسافت آخرین نمونه ای است که بر اهمیت دادن به هویت های غیرانسانی مانند نرده های امنیتی مانند هویت های انسانی تاکید می کند.”
تال توصیه کرد که “به منظور جلوگیری از درزهایی مانند این، سازمان ها باید مطمئن باشند که هر گونه اسرار متعهد به یک مخزن عمومی در معرض تجزیه و تحلیل دسترسی کامل است – این می تواند توسط یک فرآیند خودکار انجام شود که اسرار را اسکن می کند و دامنه را تأیید می کند. به راز دسترسی پیدا کرده و به تیم امنیتی و صاحب راز برای بررسی هشدار می دهد.
او پیشنهاد کرد: «همچنین، در چارچوب تجزیه و تحلیل مجوز IAM، هویت‌های غیر انسانی، مانند توکن SAS، باید در همان مرزهای امنیتی هویت‌های انسانی نگهداری شوند.»
این اولین موردی نیست که مایکروسافت چنین داده های حساسی را افشا می کند. در ژوئیه ۲۰۲۰ ، سرور مایکروسافت بینگ به طور ناخواسته سؤالات جستجوی کاربر و داده‌های مکان، از جمله عبارات جستجوی ناراحت‌کننده مرتبط با محتوای قتل و سوء استفاده از کودکان را در معرض دید قرار داد.