בתקופה שבין 20 ביולי 2020 עד 24 ביוני 2023, התאגיד Microsoft הפך כמות עצומה של נתונים לזמינים לציבור דרך מאגר GitHub הציבורי. Wiz, חברת אבטחת ענן, גילתה ודיווחה על הבעיה Microsoft ב-22 ביוני 2023, ויומיים לאחר מכן, החברה ביטלה את האסימון הלא מאובטח שלה. התקרית הפכה לידיעת הציבור רק כאשר Wiz פרסמה מידע על נושא האבטחה בבלוג הרשמי שלה.
חוקרי Wiz אומרים כי עקב שימוש לרעה בתכונת פלטפורמת Azure הידועה בשם Shared Ac Tokenscesחתימה (SAS), Microsoft חשפו בטעות 38 טרה-בייט של נתונים פרטיים ב-GitHub. הארכיון שימש לאירוח מודלים של קוד פתוח ובינה מלאכותית לזיהוי תמונות, וחוקרים Microsoft ה-AIs החליפו את הקבצים שלהם באמצעות אסימון ה-SAS המתירני מדי.
אסימוני SAS מספקים את היכולת לשתף כתובות URL חתומות כדי לספק גישה לנתונים המתארחים ב-Azure Storage. ניתן להגדיר את רמת הגישה על ידי המשתמש, ואת אסימון ה-SAS הספציפי המשמש את החוקרים Microsoft, הצביע על אחסון Azure שהוגדר בצורה שגויה שהכיל הרבה נתונים רגישים.
בנוסף לנתוני אימון עבור דגמי הבינה המלאכותית שלה, Microsoft עשה עותק גיבוי של הדיסק מתחנות העבודה של שני עובדים זמין לציבור, מדווח Wiz. הגיבוי הכיל "סודות", מפתחות קריפטוגרפיים פרטיים, סיסמאות ויותר מ-30 הודעות פנימיות Microsoft צוותים בבעלות 359 עובדים Microsoft. בסך הכל 38 TB של קבצים פרטיים יכולים להיות נגישים לכל אחד, לפחות עד הרגע Microsoft לא ויתר על אסימון SAS הלא מאובטח ב-24 ביוני 2023.
למרות השימושיות שלהם, אסימוני SAS מהווים סיכון אבטחה עקב היעדר ניטור וניהול. Wiz אומר שהשימוש בהם צריך להיות "מוגבל ככל האפשר" מכיוון שקשה לעקוב אחר אסימונים בגלל זה Microsoft אינו מספק דרך מרוכזת לנהל אותם דרך פורטל Azure.
בנוסף, ניתן להגדיר אסימוני SAS ל"שימוש כמעט נצחי", כפי שמסביר Wiz. האסימון הראשון אשר Microsoft פורסם ב-GitHub, נוסף ב-20 ביולי 2020 ונשאר בתוקף עד 5 באוקטובר 2021. אסימון שני נוסף לאחר מכן ל-GitHub, אשר יפוג ב-6 באוקטובר 2051.
לטענת Wiz, התקרית של ריבוי טרה-בייט עם מיקרוסופט מדגישה את הסיכונים הכרוכים באימון מודלים של בינה מלאכותית. החוקרים מסבירים שהטכנולוגיה החדשה הזו דורשת "מערכי נתונים גדולים של הדרכה" מכיוון שצוותי פיתוח רבים מעבדים "כמויות אדירות של נתונים", חולקים אותם עם עמיתים או משתפים פעולה בפרויקטים ציבוריים בקוד פתוח. מקרים כמו זה של מיקרוסופט הופכים "יותר ויותר קשים לשליטה ולהימנע".
קרא גם: