افشای تصادفی 38 ترابایت اطلاعات یک شرکت خصوصی توسط مایکروسافت
افشای تصادفی 38 ترابایت اطلاعات یک شرکت خصوصی توسط مایکروسافت
به گزارش gsxr و به نقل از مشبل، شرکت امنیت ابری Wiz اعلام کرد که تیم تحقیقاتی هوش مصنوعی مایکروسافت به طور تصادفی 38 ترابایت از اطلاعات خصوصی این شرکت را فاش کرده است.
دادههای افشا شده شامل نسخههای پشتیبان کامل از رایانههای دو کارمند بود. این نسخههای پشتیبان حاوی اطلاعات شخصی حساس، از جمله رمزهای عبور سرویسهای مایکروسافت، کلیدهای مخفی و بیش از 30000 پیام داخلی تیم مایکروسافت از بیش از 350 کارمند مایکروسافت بودند.
اما این اتفاق چگونه رخ داد؟ این گزارش توضیح میدهد که تیم هوش مصنوعی مایکروسافت یک مجموعه از دادههای آموزشی حاوی کد منبع باز و مدلهای هوش مصنوعی را برای تشخیص تصویر آپلود کرد. به کاربرانی که با مخزن گیتهاب مواجه شده بودند لینکی از آژور (سرویس ذخیرهسازی ابری مایکروسافت) برای دانلود مدلها ارائه شد.
اما مشکل اینجا بود که لینکی که توسط تیم هوش مصنوعی مایکروسافت ارائه شده بود به بازدیدکنندگان امکان دسترسی کامل به کل حساب ذخیرهسازی آژور را میداد. و نه تنها بازدیدکنندگان میتوانستند همه چیز را در حساب مشاهده کنند، بلکه همچنین میتوانستند فایلها را نیز آپلود، بازنویسی یا حذف نمایند.
در گزارش ویز امده است که این امر در نتیجه یک قابلیت آژور به نام توکنهای دسترسی مشترک به امضا (SAS) رخ داده است، که عبارت است از یک URL امضا شده که امکان دسترسی به دادههای ذخیرهسازی آژور را میدهد. این توکن SAS میتوانست با محدودیتهایی درباره اینکه امکان دسترسی به کدام فایل یا فایلها وجود داشته باشد تنظیم شده باشد. با این حال، این لینک خاص امکان دسترسی کامل را میداد.
بنا بر اعلام ویز، آنچه این مشکل را پیچیدهتر میکند این است که به نظر میرسد این داده ها از سال 2020 افشا شده است.
ویز در اوایل سال جاری، در 22 ژوئن، با مایکروسافت تماس گرفت تا در مورد این کشف به آنها هشدار دهد. دو روز بعد، مایکروسافت توکن SAS را باطل کرد و این مشکل را مسدود کرد. مایکروسافت تحقیقاتی را در مورد تأثیرات احتمالی در ماه اوت انجام داد و تکمیل کرد.
مایکروسافت در بیانیهای برای وبسایت TechCrunch ادعا کرد که «هیچ یک از اطلاعات مشتری در معرض خطر قرار نگرفت و هیچ سرویس داخلی دیگری نیز به دلیل این مشکل به مخاطره نیفتاده است».