Microsoft AI araştırma bölümü, açık kaynaklı AI öğrenme modellerini halka açık bir GitHub deposuna eklerken yanlışlıkla düzinelerce terabaytlık hassas veriyi sızdırdı.
Bu, güvenlik araştırmacıları bir Microsoft çalışanının sızdırılan bilgileri içeren yanlış yapılandırılmış bir Azure Blob depolama grubunun URL’sini yanlışlıkla paylaştığını tespit eden bulut güvenlik firması Wiz tarafından keşfedildi.
Microsoft, verilerin açığa çıkmasını aşırı derecede izin veren bir Paylaşılan Erişim İmzası (SAS) belirtecinin kullanılmasıyla ilişkilendirdi. Bu Azure özelliği, Wiz araştırmacıları tarafından izlenmesi ve iptal edilmesi zor olarak tanımlanan bir şekilde veri paylaşımına olanak tanır.
Doğru kullanıldığında, Paylaşılan Erişim İmzası (SAS) belirteçleri, depolama hesabınızdaki kaynaklara yetkilendirilmiş erişim vermenin güvenli bir yolunu sunar.
Bu, müşterinin veri erişimi üzerinde kesin kontrolü, etkileşimde bulunabilecekleri kaynakları belirlemeyi, bu kaynaklarla ilgili izinleri tanımlamayı ve SAS belirtecinin geçerlilik süresinin belirlenmesini içerir.
“İzleme ve yönetim eksikliği nedeniyle SAS tokenleri güvenlik riski oluşturuyor ve bunların kullanımı mümkün olduğunca sınırlı olmalıdır. Microsoft, bunları Azure portalında yönetmek için merkezi bir yol sağlamadığından bu tokenleri takip etmek çok zordur. ,” diye uyardı Wiz bugün.
“Ayrıca, bu belirteçler, son kullanma sürelerinde herhangi bir üst sınır olmaksızın sonsuza kadar etkili bir şekilde dayanacak şekilde yapılandırılabilir. Bu nedenle, Hesap SAS belirteçlerinin harici paylaşım için kullanılması güvenli değildir ve bundan kaçınılmalıdır.”
Azure depolama paketi aracılığıyla 38 TB’lık özel veri açığa çıktı
Wiz Araştırma Ekibi, açık kaynak modellerin yanı sıra dahili depolama hesabının da yanlışlıkla 38 TB değerinde ek özel veriye erişime izin verdiğini tespit etti.
Açığa çıkan veriler arasında Microsoft hizmetlerine ait şifreler, gizli anahtarlar ve 359 Microsoft çalışanından gelen 30.000’den fazla dahili Microsoft Teams mesajının arşivi de dahil olmak üzere Microsoft çalışanlarına ait kişisel bilgilerin yedekleri yer alıyordu.
Pazartesi günü Microsoft Güvenlik Yanıt Merkezi (MSRC) ekibi tarafından yayınlanan bir danışma belgesinde Microsoft, bu olay nedeniyle hiçbir müşteri verisinin açığa çıkmadığını ve başka hiçbir dahili hizmetin tehlikeye girmediğini söyledi.
Wiz, olayı 22 Haziran 2023’te MSRC’ye bildirdi. MSRC, Azure depolama hesabına tüm harici erişimi engellemek için SAS belirtecini iptal ederek 24 Haziran 2023’te sorunu hafifletti.
Wiz CTO’su ve Kurucu Ortağı Ami Luttwak, BleepingComputer’a şunları söyledi: “Yapay zeka, teknoloji şirketleri için büyük bir potansiyelin kilidini açıyor. Ancak veri bilimcileri ve mühendisler, üretime yeni yapay zeka çözümleri getirmek için yarıştıkça, işledikleri devasa miktardaki veri, ek güvenlik kontrolleri ve önlemleri gerektiriyor.”
“Gelişmekte olan bu teknoloji, üzerinde eğitim verilecek büyük veri kümeleri gerektiriyor. Birçok geliştirme ekibinin büyük miktarda veriyi işlemesi, bunu meslektaşlarıyla paylaşması veya kamuya açık açık kaynak projelerde işbirliği yapması gerektiğinden, Microsoft’unki gibi vakaları izlemek ve bunlardan kaçınmak giderek zorlaşıyor. “