38ТБ података које су случајно открили Мицрософтови АИ истраживачи

September 20, 2023
УПрозори централни

Оно што треба да знате

Усред свих Мицрософтових цурења података данас, Мицрософтов истраживачки тим за вештачку интелигенцију такође је грешком открио 38ТБ приватних података компаније.
Подаци који су процурили укључивали су резервне копије рачунара запослених у Мицрософту.
Подаци ускладиштени у рачунарима укључивали су лозинке за Мицрософтове услуге, тајне кључеве и преко 30.000 интерних Теамс порука од преко 350 запослених у компанији.
Мицрософт је од тада издао изјаву у којој указује да подаци о клијентима нису компромитовани, као ни његове интерне услуге.
Виз, компанија за сајбер безбедност, сузила је основни узрок цурења на Азуре функцију названу Токени са потписом заједничког приступа (САС), који су корисницима дали неограничен приступ Азуре складишту ресурси.

Мајкрософт мора да има дан после онога што се може назвати „највећим цурењем у историји Ксбок-а“. Цурење је изнело детаље у вези са освежена конзола Ксбок серије Кс кодног назива 'Брооклин', који има цилиндрични дизајн и очекује се да ће се у продаји наћи касније ове године у новембру.

А сада је Мицрософт-ов тим за истраживање вештачке интелигенције такође грешком процурио 38ТБ података приватних компанија. Према Виз-у, фирма за сајбер безбедност, подаци су такође укључивали везу са резервним копијама рачунара запослених у Мицрософту. Подаци ускладиштени у рачунарима садржали су лозинке за Мицрософт услуге, тајне кључеве и преко 30.000 интерних Теамс порука од више од 350 запослених у компанији.

Мицрософт је брзо издао саопштење док разговарате за ТецхЦрунцх, уверавајући забринуте клијенте да њихови подаци нису угрожени. Компанија је такође назначила да ни интерне услуге нису погођене.

Према извештају, тим за истраживање вештачке интелигенције је учитао податке о обуци који садрже осетљиве податке, укључујући отворени код и АИ моделе за препознавање слика. Као такви, корисници који су наишли на ГитХуб спремиште могли су да приступе Азуре линку, омогућавајући им да преузму моделе.

Огромно цурење Ксбок-а

Ксбок Цлоуд Гаминг — (Кредит слике: Футуре/Бинг Имаге Цреатор)

- Мицрософтова почетна размишљања о ПС5
- Ксбок Елите Цонтроллер Сериес 2 испод 100 долара
- Панос Панај напушта Мицрософт
- Мицрософт жели да купи Нинтендо
- Леак даје увид у будућност Ксбок-а

И док је Мицрософт уверавао купце да су њихови подаци остали нетакнути и да нису погођене никакве интерне услуге, веза је корисницима омогућила потпуни приступ Азуре налогу за складиштење. Чудно је да корисници са приступом могу да мењају податке ускладиштене на налогу, укључујући отпремање, преписивање, па чак и брисање постојећих датотека.

Компанија за сајбер безбедност сузила је проблем на Азуре функцију, токене Схаред Аццесс Сигнатуре (САС). У суштини, ова функција је УРЛ који даје ограничена права приступа ресурсима Азуре складишта. Иако је могуће конфигурисати функцију да ограничи приступ одређеним датотекама, ова веза корисницима пружа неограничен приступ.

Виз је означио и пријавио проблем Мицрософту 22. јуна 2023., а компанија је брзо одговорила на проблем и опозвала САС токен 23. јуна 2023. Мицрософт је даље цитирао поновно скенирање у своја јавна спремишта, али његови системи су означили везу која је изазвала проблем као лажно позитивна.

Лекови за будућност

Потенцијална опасност која би таква цурења могла изазвати ако падну у погрешне руке је незамислива. Срећом, у овом случају, проблем је означен и брзо отклоњен.

Мицрософт је од тада објавио свеобухватну листу са истицањем најбоље праксе за руковање САС токенима. Такође је очигледно да корисници морају да буду опрезни када користе ову функцију и да се постарају да ограничења постоје поставити да би се избегла репликација такве инстанце у будућности, која би потенцијално могла да изазове много оштећења.