الأمن الإلكتروني

مايكروسوفت تكشف بالخطأ عن البيانات الداخلية

18 سبتمبر 2023آخر تحديث: 19 سبتمبر 2023
دقيقة واحدة
مايكروسوفت تكشف بالخطأ عن البيانات الداخلية
مايكروسوفت تكشف بالخطأ عن البيانات الداخلية

كشف فريق أبحاث الذكاء الاصطناعي في مايكروسوفت عن طريق الخطأ 38 تيرابايت من البيانات الحساسة، ومنها المفاتيح الخاصة وكلمات المرور والنسخ الاحتياطية الشخصية لحواسيب موظفي الشركة، وذلك أثناء نشر مجموعة من بيانات التدريب المفتوحة المصدر عبر GitHub.

واكتشفت شركة الأمن السحابي Wiz مستودع GitHub التابع لقسم أبحاث الذكاء الاصطناعي في مايكروسوفت كجزء من عملها المستمر في الكشف غير المقصود عن البيانات المستضافة عبر السحابة.

ويتيح فريق أبحاث الذكاء الاصطناعي في الشركة لمستخدمي مستودع GitHub تنزيل النماذج من رابط حساب تخزين Azure، حيث يوفر هذا المستودع التعليمات البرمجية المفتوحة المصدر ونماذج الذكاء الاصطناعي لتعرّف الصور.

واكتشفت Wiz أن الرابط معد لمنح الأذونات عبر حساب التخزين بأكمله، مما يؤدي إلى الكشف عن البيانات الخاصة الإضافية عن طريق الخطأ.

وتحتوي البيانات معلومات شخصية حساسة، ومنها كلمات المرور لخدمات مايكروسوفت والمفاتيح السرية وأكثر من 30 ألف رسالة تيمز داخلية من 359 موظفًا من موظفي مايكروسوفت.

كما أن الإعداد الخطأ للرابط سمح بالتحكم الكامل بدلًا من أذونات القراءة فقط، مما يعني إمكانية حذف المحتوى واستبداله بمحتوى محقون ببرمجيات ضارة.

وأضاف مطورو الذكاء الاصطناعي في مايكروسوفت رمزًا مميزًا سهلًا لتوقيع الوصول المشترك ضمن الرابط. وتعد الرموز المميزة لتوقيع الوصول المشترك بمثابة طريقة تستخدمها Azure للسماح للمستخدمين بإنشاء روابط قابلة للمشاركة تمنح الوصول إلى بيانات حساب تخزين Azure.

وقالت شركة Wiz: “يتسابق علماء البيانات لتقديم حلول جديدة للذكاء الاصطناعي للإنتاج، ولكن تتطلب الكميات الهائلة من البيانات التي يتعاملون معها فحوصات وضمانات أمنية إضافية”.

وأضافت: “تزداد صعوبة مراقبة الحالات المشابهة لحالة مايكروسوفت وتجنبها مع احتياج العديد من فرق التطوير إلى التعامل مع كميات هائلة من البيانات، أو مشاركتها مع أقرانها أو التعاون في مشاريع عامة مفتوحة المصدر”.

وأوضحت Wiz أنها شاركت النتائج التي توصلت إليها مع مايكروسوفت، التي ألغت بدورها الرمز المميز لتوقيع الوصول المشترك. وقال مركز الاستجابة الأمنية التابع لشركة مايكروسوفت: “لم يُكشف عن أي بيانات للعملاء، ولم تتعرض أي خدمات داخلية أخرى للخطر بسبب هذه المشكلة”.

وقالت مايكروسوفت: “وسّعنا خدمة GitHub التي تراقب جميع التغييرات العامة في التعليمات البرمجية المفتوحة المصدر للكشف عن النص العادي لبيانات الدخول وغيرها من الأسرار لتشمل أي رمز مميز لتوقيع الوصول المشترك قد يكون له فترات انتهاء صلاحية أو امتيازات إضافية”.

الوسوم
18 سبتمبر 2023آخر تحديث: 19 سبتمبر 2023
دقيقة واحدة
زر الذهاب إلى الأعلى