home סייבר אבטחת סייבר צוות מחקר הבינה המלאכותית של מייקרוסופט הדליף בשוגג כ-38TB של נתונים פרטיים

צוות מחקר הבינה המלאכותית של מייקרוסופט הדליף בשוגג כ-38TB של נתונים פרטיים

Sep 23, 2023

This post is also available in: English (אנגלית)

צוות המחקר של מיקרוסופט בתחום הבינה המלאכותית הדליף בטעות נתונים פרטיים ורגישים כחלק מפרסום נתוני הדרכה בקוד פתוח ב-GitHub.

מאגר GitHub של מיקרוסופט הנקרא "Robust-models-transfer" הוגדר כך שיוכל להעניק הרשאות לגבי החשבון כולו, כך שלא רק מודלים של קוד פתוח אלא גם כמות גדולה מאוד של נתונים אישיים היו נגישים לצדדים שלישיים.

על פי Cybernews, כ-38 טרה-בייט של נתונים נוספים שנחשפו בשוגג כללו גיבויי מחשב אישיים של עובדי מיקרוסופט, שהכילו סיסמאות לשירותים של מיקרוסופט, מפתחות סודיים ולמעלה מ-30,000 הודעות פנימיות של צוותי מיקרוסופט מכ-359 עובדים שונים.

החוקרים טוענים כי התוקפים יכלו לגשת לכל הקבצים בחשבון האחסון, למחוק או להחליף אותם, באומרם כי "תוקף יכול היה להזריק קוד זדוני לכל מודלי הבינה המלאכותית בחשבון האחסון הזה, וכל משתמש שבוטח במאגר GitHub של מיקרוסופט היה נדבק על ידו".

על פי WIX, חשבון האחסון לא נחשף ישירות לציבור. הסיבה לכך היא שהמפתחים של מיקרוסופט השתמשו במנגנון Azure שנקרא "SAS Tokens", המאפשר ליצור קישור הניתן לשיתוף ומעניק גישה לנתונים של חשבון Azure Storage – ואף לאחר בדיקה חשבון האחסון עדיין ייראה פרטי לחלוטין.

"חתימת גישה משותפת", או SAS, היא סוג של אסימון המעניק גישה לנתוני אחסון של Azure, כאשר רמת הגישה ניתנת להתאמה אישית על ידי המשתמש.

Wix סיימה באומרה כי "מלבד הסיכון לחשיפה מקרית, החסרונות של השירות הופכים אותו לכלי יעיל עבור תוקפים המבקשים לשמור על גישה מתמדת בחשבונות אחסון שנפרצו".

על פי הדיווחים, מיקרוסופט ביטלה את תוקף האסימון ביולי 2023.