A Wiz Research felhőbiztonsági cég figyelt fel arra, hogy a Microsoft MI-kutatócsoportja vélelenül 38 TB-nyi adatot szivárogtatott ki. Ezek az adatok két alkalmazott számítógépének teljes biztonsági másolatát tartalmazták, érzékeny személyes adatokkal, beleértve a Microsoft szolgáltatások jelszavait, titkos kulcsokat és több mint 30 ezer belső Microsoft Teams-üzenetet 359 Microsoft-alkalmazottól.
Kiszivárgott Teams-beszélgetés két Microsoft alkalmazott között
Wiz Research
De hogyan történhetett ez? A Wiz jelentése elmagyarázza, hogy a Microsoft mesterséges intelligencia csapata feltöltött egy csomó képzési adatot, amely nyílt forráskódot és mesterséges intelligencia modelleket tartalmazott a képfelismeréshez. A Github adattárral találkozó felhasználók egy URL-t kaptak az Azure-ból, a Microsoft felhőalapú tárolási szolgáltatásából, hogy letölthessék a modelleket.
Azonban a Microsoft MI csapata által megadott hivatkozás hozzáférést adott a látogatóknak a teljes Azure Storage-fiókhoz. Nemcsak hogy mindent megtekinthettek a fiókban, hanem feltölthetek, felülírhattak vagy törölhettek is fájlokat. A Wiz szerint mindennek a hátterében egy rosszul konfigurált SAS (közös hozzáférésű jogosultságkód) token állt, amely a korlátozott hozzáférés helyett teljes hozzáféréssel lett konfigurálva. (A SAS-tokenek az Azure által használt mechanizmus, amely lehetővé teszi a felhasználók számára, hogy megosztható hivatkozásokat hozzanak létre, amelyek hozzáférést biztosítanak egy Azure Storage-fiók adataihoz.)
Wiz Research
A Wiz még június végén felvette a kapcsolatot a Microsofttal, figyelmeztetve a cégóriást a problémára. Két nappal később a Microsoft érvénytelenítette a SAS tokent, ezzel lezárva a problémát, majd a múlt hónapban vizsgálatot végzett, hogy felmérje a lehetséges hatásokat. Nyilatkozatot is adott a TechCrunchnak, és azt állította, hogy „nem kerültek nyilvánosságra az ügyfelek adatai, és más belső szolgáltatások sem kerültek veszélybe a probléma miatt”.
„A mesterséges intelligencia hatalmas lehetőségeket tár fel a technológiai vállalatok számára. Amikor azonban az adattudósok és mérnökök azon versenyeznek, hogy új mesterségesintelligencia-megoldásokat vezessenek be a termelésbe, az általuk kezelt hatalmas mennyiségű adat további biztonsági ellenőrzéseket és biztosítékokat igényel. Mivel sok fejlesztőcsapatnak hatalmas mennyiségű adatot kell manipulálnia, meg kell osztaniaa társaival, vagy nyilvános nyílt forráskódú projektekben kell együttműködnie, az olyan eseteket, mint most a Microsofté, egyre nehezebb lesz nyomon követni és elkerülni” – mondta el a Wiz társalapítója és technológiai igazgatója a TechCrunchnak.
Arra is rámutatott, hogy a felügyelet és az irányítás hiánya miatt a SAS tokenek biztonsági kockázatot jelentenek, ezért használatukat a lehető legkorlátozottabban kell korlátozni. Ezeket a tokeneket nagyon nehéz nyomon követni, mivel a Microsoft nem biztosít központosított módot a kezelésükhöz az Azure Portalon belül. Ráadásul ezek a tokenek úgy konfigurálhatók, hogy tulajdonképpen örökké tartsanak, nincs lejárati idejük. Ezért a fiók SAS tokenek használata külső megosztáshoz nem biztonságos, és ezt kerülni kell.
Ha máskor is tudni szeretne hasonló dolgokról, lájkolja a HVG Tech rovatának Facebook-oldalát.
