У період з 20 липня 2020 року по 24 червня 2023 року корпорація Microsoft виклала величезну кількість даних у відкритий доступ через публічний репозиторій GitHub. Компанія Wiz, що займається хмарною безпекою, виявила проблему і повідомила про неї Microsoft 22 червня 2023 року, а через два дні компанія анулювала свій незахищений токен. Про інцидент стало відомо громадськості лише зараз, коли Wiz оприлюднила інформацію про проблему з безпекою у своєму офіційному блозі.
Дослідники Wiz стверджують, що через неправильне використання функції платформи Azure, відомої як токени Shared Access Signature (SAS), Microsoft випадково розкрила 38 терабайтів приватних даних на GitHub. Архів використовувався для розміщення відкритого коду та моделей штучного інтелекту для розпізнавання зображень, а дослідники Microsoft AI обмінювалися своїми файлами через надмірно вседозволений токен SAS.
Токени SAS надають можливість ділитися підписаними URL-адресами для надання доступу до даних, розміщених в Azure Storage. Рівень доступу може бути налаштований користувачем, і конкретний токен SAS, який використовували дослідники Microsoft, вказував на неправильно сконфігуроване сховище Azure, що містило безліч конфіденційних даних.
Окрім навчальних даних для своїх моделей штучного інтелекту, Microsoft виставила на загальний огляд резервну копію диска з робочих станцій двох співробітників, повідомляє Wiz. Резервна копія містила “секрети”, приватні криптографічні ключі, паролі та понад 30 000 внутрішніх повідомлень Microsoft Teams, що належать 359 співробітникам Microsoft. Загалом 38 ТБ приватних файлів могли бути доступні будь-кому, принаймні до того моменту, поки Microsoft не відмовилась від небезпечного токена SAS 24 червня 2023 року.
Незважаючи на свою корисність, токени SAS становлять ризик для безпеки через відсутність моніторингу та управління. Wiz каже, що їх використання має бути “максимально обмеженим”, оскільки токени важко відстежити, оскільки Microsoft не надає централізованого способу управління ними через портал Azure.
Крім того, токени SAS можуть бути налаштовані на “фактично вічне використання”, як пояснює Wiz. Перший токен, який Microsoft розмістила на GitHub, було додано 20 липня 2020 року, і він залишався дійсним до 5 жовтня 2021 року. Згодом на GitHub було додано другий токен, термін дії якого має закінчитися 6 жовтня 2051 року.
На думку Wiz, багатотерабайтний інцидент з Mіcrosoft підкреслює ризики, пов’язані з навчанням моделей штучного інтелекту. Дослідники пояснюють, що ця нова технологія вимагає “великих наборів даних для навчання”, оскільки багато команд розробників обробляють “величезні обсяги даних”, діляться ними з колегами або співпрацюють над публічними проєктами з відкритим вихідним кодом. Такі випадки, як у Mіcrosoft, стає “все важче контролювати та уникати”.
Читайте також: