Microsoft çalışanları yanlışlıkla açık kaynaklı verilerden oluşan bir depolama paketini GitHub’da açığa çıkardı. Bu veri sızıntısı, Xbox belgelerini içeren başka bir Microsoft oyun verisi sızıntısıyla eşleştirildi.
Daha önceki veri sızıntısında yaklaşık 38TB verinin Microsoft araştırmacıları tarafından sızdırıldığı bildirilmişti. Bu Microsoft veri sızıntısı ilk olarak bir bulut güvenlik hizmeti sağlayıcısı olan Wiz tarafından bulundu.
Araştırmacılar ayrıca Microsoft’un AI GitHub deposunda yayınlanan verilerin yaklaşık 30.000 dahili Teams mesajını içerdiğini de buldu. Microsoft GitHub veri sızıntısı, SAS belirtecinin yanlış yapılandırılmasından kaynaklandı.
SAS belirteçleri, erişilebilirlik ayarlarında izin verildiği şekilde bir Azure Depolama hesabındaki verilere erişebilmeleri için üyelerle bağlantı paylaşımına olanak tanır.
Microsoft Oyun Veri Sızıntısı
Bloomberg muhabirlerinden oluşan bir ekip, gizli bir Xbox veri sızıntısını ortaya çıkardı ve bu durum başlangıçta potansiyel bir Federal Ticaret Komisyonu hatası hakkında spekülasyonlara yol açtı, ancak daha sonraki araştırmalar durumun böyle olmadığını ortaya çıkardı.
Bloomberg’in Microsoft oyun verileri sızıntısıyla ilgili raporunda, “Konu hakkında bilgi sahibi bir kişiye ve Federal Ticaret Komisyonu çalışanının bir gönderisine göre, Microsoft Corp., video oyunu operatörleri hakkındaki gizli bilgileri yanlışlıkla bir federal mahkeme web sitesine yükledi” ifadesine yer verildi.
Artan bilgisayar korsanlığı ve Microsoft oyun veri sızıntısı sorununu ele alan kötü amaçlı yazılım depolama hizmeti VX-Underground, ifşa olması muhtemel verilerin görüntülerini tweetledi.
Son Microsoft oyun veri sızıntısı ve Azure’daki kamuya açık verinin yanı sıra, Çinli bir siber casusluk grubunun ABD hükümeti çalışanlarının görünüm e-postalarını ve iletişimlerini gözetlediğini belirttiler.
Çalışanlarından İkinci Microsoft Veri Sızıntısı
Microsoft’un Yapay Zeka (AI) araştırma ekibi, açık bırakıldığı sırada GitHub’daki eğitimle ilgili bir sürü açık kaynak bilgisi yayınlıyordu. Microsoft GitHub verileri, SAS tokenlarının Azure özelliği aracılığıyla paylaşılıyordu.
Microsoft’tan sızdırılan verilerin iki çalışanın iş istasyonundaki disk yedeklemesini içerdiği tespit edildi. Microsoft verileri iki çalışanın Azure Depolama hesaplarındaydı.
Wiz blogu, yapay zeka eğitimiyle ilgili veri güvenliğinin önemini belirterek şunları kaydetti: “Bu vaka, kuruluşların yapay zekanın gücünden daha geniş anlamda yararlanmaya başladığında karşılaştıkları yeni risklerin bir örneğidir; çünkü artık daha fazla mühendis devasa miktarlarda çalışıyor. eğitim verilerinin.”
Wiz araştırma ekibi, bulutta barındırılan verileri düzenli olarak izliyor ve bu da GitHub’da yanlışlıkla Microsoft veri sızıntısının ortaya çıkmasına yol açıyor.
Açığa Çıkan Microsoft Deposu Hakkında Ayrıntılar
Microsoft deposu çağrıldı sağlam-modeller-transferi ve teknoloji liderinin açık kaynak kodu ve yapay zeka modelleri sunan yapay zeka araştırma bölümüne aitti. Bu AI verileri, görüntü tanımayı kolaylaştırmak için kullanılır.
Microsoft personeli verileri paylaştı ve kullanıcılardan modelleri yukarıdaki ekran görüntüsünde gösterildiği gibi Azure Depolama URL’sinden indirmelerini istedi.
“Ancak bu URL, açık kaynaklı modellerden daha fazlasına erişime izin verdi. Wiz raporu, depolama hesabının tamamına izin verecek ve ek özel verileri yanlışlıkla açığa çıkaracak şekilde yapılandırılmıştır” diye ekledi.
Araştırmanın ardından araştırmacılar, bilgileri paylaşan hesabın 38TB tutarındaki belgeleri yayınladığını ve bunun da Microsoft veri sızıntısına yol açtığını buldu. Bu olayda çalışanın kişisel bilgisayar yedeğinin de açığa çıktığı söylendi.
Microsoft GitHub sızıntısında bulunan veriler arasında Microsoft hizmetlerinin şifreleri, gizli anahtarlar ve 359 ofis çalışanının Teams mesajları da yer alıyordu.
Yapılandırma Değişmedi, Microsoft’un Veri Sızıntısına Yanıtı
Wiz blogunda düzgün şekilde işaretlenmeyen yapılandırmayı ele alan yazıda, “Aşırı izin veren erişim kapsamına ek olarak, belirteç salt okunur yerine “tam kontrol” izinlerine izin verecek şekilde yanlış yapılandırıldı.” ifadesine yer verildi.
Wiz araştırmacıları ayrıca dosya formatının, Python’un turşu formatı kullanılarak formatlanan TensorFlow kütüphanesi tarafından oluşturulan ckpt formatında olması nedeniyle, kötü amaçlı kodları çalıştırmak için kullanılabileceği sonucuna vardı.
Microsoft’un Güvenlik Yanıt Merkezi, veri sızıntısı raporlarına hiçbir müşteri verisinin ifşa edilmediğini açıklayarak yanıt verdi. Microsoft Azure verilerinin yayınlanması nedeniyle dahili hizmetler etkilenmedi.
Teknoloji devi, raporların ardından GitHub’un, düz metinlerin açığa çıkması için kamuya açık açık kaynak kod değişikliklerini izlemekten sorumlu olan gizli yayılma hizmetini genişlettiklerinin güvencesini verdi.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Siber Express, bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.