WebTech Rodos: (Photo by Thomas Trutschel/Photothek via Getty Images)
Ένας λανθασμένα ρυθμισμένος σύνδεσμος διέρρευσε κατά λάθος πρόσβαση σε 38TB δεδομένων της Microsoft, ανοίγοντας τη δυνατότητα να εισαχθεί κακόβουλος κώδικας στα μοντέλα AI της.
Το εύρημα προέρχεται από τον πάροχο ασφάλειας cloud Wiz, ο οποίος σάρωσε πρόσφατα το διαδίκτυο για εκτεθειμένους λογαριασμούς αποθήκευσης. Βρήκε ένα αποθετήριο λογισμικού στο GitHub που ανήκει στη Microsoft και είναι αφιερωμένο στην παροχή ανοιχτού κώδικα και μοντέλων AI για την αναγνώριση εικόνων.
Στην επηρεαζόμενη σελίδα του GitHub, ένας υπάλληλος της Microsoft είχε δημιουργήσει μια διεύθυνση URL, επιτρέποντας στους επισκέπτες του αποθετηρίου λογισμικού να κατεβάζουν μοντέλα AI από ένα δοχείο αποθήκευσης Azure. “Ωστόσο, αυτή η διεύθυνση URL επέτρεπε την πρόσβαση σε περισσότερα από μοντέλα ανοικτού κώδικα”, αναφέρει η Wiz στην έκθεσή της. “Είχε ρυθμιστεί ώστε να χορηγεί δικαιώματα σε ολόκληρο τον λογαριασμό αποθήκευσης, εκθέτοντας κατά λάθος πρόσθετα ιδιωτικά δεδομένα”.
(Credit: Wiz Research)
Οι σαρώσεις της Wiz Research έδειξαν επίσης ότι το κοντέινερ αποθήκευσης Azure περιείχε 38TB δεδομένων, συμπεριλαμβανομένων “κωδικών πρόσβασης σε υπηρεσίες της Microsoft, μυστικών κλειδιών και πάνω από 30.000 εσωτερικά μηνύματα Microsoft Teams από 359 υπαλλήλους της Microsoft”.
(Credit: Wiz Research)
Η διεύθυνση URL για το κοντέινερ αποθήκευσης δημιουργήθηκε επίσης χρησιμοποιώντας ένα ισχυρό “Shared Access Signature” ή SAS token, το οποίο έδινε σε οποιονδήποτε επισκεπτόταν τον σύνδεσμο -συμπεριλαμβανομένων των πιθανών επιτιθέμενων- τη δυνατότητα να βλέπει, να διαγράφει ή να αντικαθιστά αυτά τα αρχεία.
“Αυτό είναι ιδιαίτερα ενδιαφέρον αν αναλογιστεί κανείς τον αρχικό σκοπό του αποθετηρίου: την παροχή μοντέλων AI για χρήση σε εκπαιδευτικό κώδικα”, δήλωσε ο Wiz. “Αυτό σημαίνει ότι ένας επιτιθέμενος θα μπορούσε να είχε εισάγει κακόβουλο κώδικα σε όλα τα μοντέλα AI σε αυτόν τον λογαριασμό αποθήκευσης και κάθε χρήστης που εμπιστεύεται το αποθετήριο GitHub της Microsoft θα είχε μολυνθεί από αυτόν”.
Η Wiz ανέφερε το γεγονός αυτό στη Microsoft τον Ιούνιο και η εταιρεία σταμάτησε αμέσως τη διαρροή. “Δεν εκτέθηκαν δεδομένα πελατών και δεν τέθηκαν σε κίνδυνο άλλες εσωτερικές υπηρεσίες εξαιτίας αυτού του προβλήματος”, ανέφερε η Microsoft στη δική της έκθεση.
Η εταιρεία δήλωσε επίσης ότι το εκτεθειμένο δοχείο αποθήκευσης περιείχε αντίγραφα ασφαλείας και εσωτερικά μηνύματα του Microsoft Teams που ανήκαν σε δύο πρώην υπαλλήλους της Microsoft. Για να αποτρέψει τυχόν περαιτέρω διαρροές, η Microsoft σαρώνει για tokens SAS στο GitHub.
“Αυτό το σύστημα εντόπισε τη συγκεκριμένη διεύθυνση URL SAS που εντοπίστηκε από το Wiz στο repo ‘robust-models-transfer’, αλλά το εύρημα χαρακτηρίστηκε εσφαλμένα ως ψευδώς θετικό”, δήλωσε η Microsoft. “Το πρόβλημα της αιτίας που το προκάλεσε αυτό έχει διορθωθεί και το σύστημα έχει πλέον επιβεβαιωθεί ότι ανιχνεύει και αναφέρει σωστά όλα τα over-provisioned SAS tokens”.
Παρόλα αυτά, το περιστατικό αποτελεί μια υπενθύμιση για την ασφαλή διαμόρφωση της πρόσβασης σε λογαριασμούς αποθήκευσης στο cloud, ειδικά σε αυτούς που φιλοξενούν μεγάλα σύνολα δεδομένων. “Καθώς οι επιστήμονες δεδομένων και οι μηχανικοί τρέχουν για να φέρουν νέες λύσεις τεχνητής νοημοσύνης στην παραγωγή, οι τεράστιες ποσότητες δεδομένων που διαχειρίζονται απαιτούν πρόσθετους ελέγχους ασφαλείας και διασφαλίσεις”, πρόσθεσε ο Wiz.
Η έκθεση της εταιρείας συνεχίζει να περιγράφει λεπτομερώς ορισμένες από τις υποτιθέμενες παγίδες ασφαλείας με τα SAS tokens σε έναν λογαριασμό Azure. Αλλά η Microsoft αναφέρει ότι “όπως κάθε μηχανισμός ελέγχου ταυτότητας που βασίζεται σε κλειδί, ένα SAS μπορεί να ανακληθεί ανά πάσα στιγμή με την εναλλαγή του γονικού κλειδιού. Επιπλέον, το SAS υποστηρίζει λεπτομερή ανάκληση σε επίπεδο container, χωρίς να χρειάζεται να αλλάζονται τα κλειδιά του λογαριασμού αποθήκευσης”.
πηγή: pcmag.com