Microsoft AI araştırmacıları nedeniyle 38 TB veri yanlışlıkla ifşa edildi

 (wiz.io)
7 puan yazan GN⁺ 2023-09-19 | 1 yorum | WhatsApp'ta paylaş
  • Microsoft'un yapay zeka araştırma ekibi, GitHub'da açık kaynak eğitim verilerini yayımlarken yanlışlıkla 38 terabaytlık kişisel veriyi ifşa etti
  • İfşa edilen veriler arasında iki çalışanın iş istasyonu disk yedekleri, gizli bilgiler, özel anahtarlar, parolalar ve 30.000'den fazla dahili Microsoft Teams mesajı yer alıyordu
  • Bu veriler, Azure Storage hesabındaki verilerin paylaşılmasını sağlayan bir Azure özelliği olan SAS token kullanılarak paylaşıldı. Ancak bağlantı tüm depolama hesabını paylaşacak şekilde yapılandırıldığı için veriler ifşa edildi
  • Olay, yapay zekadan yararlanırken kurumların karşı karşıya kaldığı yeni riskleri vurguluyor ve daha fazla mühendisin büyük ölçekli eğitim verileriyle çalıştığı bir dönemde ek güvenlik kontrolleri ve korumaların gerekli olduğunu gösteriyor
  • Wiz araştırma ekibi, internette yanlış yapılandırılmış bir depolama kapsayıcısını bulurken bu ifşayı keşfetti
  • Ekip, Microsoft organizasyonu altındaki robust-models-transfer adlı GitHub deposunu keşfetti. Bu depo, görüntü tanıma için açık kaynak kod ve yapay zeka modelleri sunmak amacıyla oluşturulmuştu; ancak yanlış yapılandırma nedeniyle açık kaynak modellerin ötesine erişim sağlayan bir URL'ye izin veriyordu
  • Kullanılan token da yanlış yapılandırılmış ve "tam denetim" izni verecek şekilde ayarlanmıştı; bu da bir saldırganın mevcut dosyaları görmesine, silmesine ve üzerine yazmasına olanak tanıyordu
  • Olay, depolama hesabına yüksek erişim seviyesi veren ve süre sonu sorunları yaşayabilen SAS token'ların güvenlik risklerini öne çıkarıyor. Ayrıca bunları yönetmek ve iptal etmek de zor
  • Wiz araştırma ekibi, güvenlik ve yönetişim eksikliği nedeniyle harici paylaşım için Account SAS kullanılmasından kaçınılmasını; süre sınırlı paylaşım için ise Stored Access Policy veya User Delegation SAS kullanılmasını öneriyor
  • Ekip ayrıca, harici paylaşım için özel depolama hesapları oluşturulmasını ve politikaları izleyip uygulamak için CSPM kullanılmasını tavsiye ediyor
  • Olay, güvenlik ekiplerine yapay zeka geliştirme sürecinin her aşamasındaki yerleşik güvenlik risklerini, buna verilerin aşırı paylaşımı ve tedarik zinciri saldırısı riskleri de dahil olacak şekilde, anlamaları gerektiğini hatırlatıyor
  • Microsoft daha sonra SAS token'ı geçersiz kıldı ve GitHub'da yenisiyle değiştirdi; ayrıca olası etkilerle ilgili iç soruşturmasını tamamladı

İlgili okumalar

1 yorum

 
GN⁺ 2023-09-19
Hacker News görüşleri
  • Microsoft AI araştırmacılarının yol açtığı veri sızıntısıyla ilgili bir yazı, ancak yorumcular bunun yapay zekayla doğrudan ilgili olmadığını belirtiyor
  • Konu daha çok bulut sağlayıcıları, kafa karıştırıcı güvenlik token'ları ve büyük ölçekli veri indirmelerinin yönetimiyle ilgili
  • Vurgulanan yapay zekaya özgü risklerden biri, büyük yapay zeka modellerini depolamak için serileştirilmiş Python nesnelerinin kullanılması; bunlar obfuscate edilebilir ve potansiyel olarak kötü amaçlı kod içerebilir
  • Bu olay, depolama token'larının yanlış yapılandırılmasından kaynaklandı ve düzenli sızma testlerinin gerekliliğini vurgulayan sıradan bir vaka niteliğinde
  • Azure depolamada Pickle dosyalarının ve SAS token'larının kullanımı eleştiriliyor; bunun yerine rol tabanlı erişim kontrolü (RBAC) kullanılması öneriliyor
  • Bu olay, derinlemesine savunmanın eksikliğini ortaya koyuyor; SAS token'larının son kullanma tarihi yok, geniş erişim sağlıyor ve kendi token'larına sahip makine yedeklerini de kapsıyor
  • Tüm sırların ve ortam değişkenlerinin imha edilmesi ve sistemlerin çoğunun rol tabanlı çalışabileceği öneriliyor
  • Bu olay, güvenlik token'ı üretiminde insan kaynaklı bir başarısızlık gibi görünüyor; kuruluşların kimlik doğrulama token'larının/kimlik bilgilerinin toplu paylaşımını önlemek için OrgPolicy ayarlaması öneriliyor
  • Birinin Teams üzerinden Teams mesajlarını dışa aktarabilmiş olmasına şaşırılıyor
  • Veri sızıntısı iki yıl boyunca sürdü ve iki ay önce düzeltildi
  • Bazı yorumcular Azure'un anahtar yönetim sistemini sevmiyor ve her container için sınırsız sayıda adlandırılmış anahtarın daha iyi olacağını öne sürüyor
  • Bu olay, bulut güvenliğinin ne kadar zor olduğunu gösteriyor; bir veya iki hata, terabaytlarca verinin açığa çıkmasına yol açabiliyor