وفقًا لموقع The Hacker News ، اكتشفت شركة Wiz Research - وهي شركة ناشئة في مجال أمن السحابة - مؤخرًا تسربًا للبيانات في مستودع GitHub التابع لشركة Microsoft AI، والذي قيل إنه تم الكشف عنه عن طريق الخطأ عند نشر مجموعة من بيانات التدريب مفتوحة المصدر.

وتتضمن البيانات المسربة نسخة احتياطية من محطات عمل اثنين من موظفي مايكروسوفت السابقين تحتوي على مفاتيح سرية وكلمات مرور وأكثر من 30 ألف رسالة داخلية لتطبيق Teams.

أصبح المستودع المسمى "robust-models-transfer" غير قابل للوصول الآن. قبل إزالته، كان المستودع يتضمن كود المصدر ونماذج التعلم الآلي المتعلقة بورقة بحثية صدرت عام 2020.

وقال Wiz إن خرق البيانات حدث بسبب ضعف رموز SAS، وهي ميزة في Azure تسمح للمستخدمين بمشاركة البيانات التي يصعب تتبعها ويصعب إلغاؤها. تم الإبلاغ عن المشكلة إلى Microsoft في 22/6/2023.

وبناءً على ذلك، أرشد ملف README.md الخاص بالمستودع المطورين إلى تنزيل النماذج من عنوان URL الخاص بـ Azure Storage، مما أدى عن غير قصد إلى توفير الوصول إلى حساب التخزين بالكامل، وبالتالي الكشف عن بيانات خاصة إضافية.

وبالإضافة إلى نطاق الوصول المفرط، تم تكوين رمز SAS بشكل خاطئ أيضًا، مما يسمح بالتحكم الكامل بدلاً من القراءة فقط، وفقًا لباحثي Wiz. إذا تم استغلال ذلك، فهذا يعني أن المخترق لن يتمكن فقط من عرض جميع الملفات الموجودة في حساب التخزين، بل سيتمكن أيضًا من حذفها والكتابة فوقها.

وردًا على التقرير، قالت مايكروسوفت إن تحقيقاتها لم تجد أي دليل على تعرض بيانات العملاء للخطر، كما لم تكن أي خدمات داخلية أخرى معرضة للخطر بسبب الحادث. وأكدت المجموعة أن العملاء ليسوا بحاجة إلى اتخاذ أي إجراء، قائلة إنها ألغت رموز SAS وحظرت جميع الوصول الخارجي إلى حسابات التخزين.

لتخفيف المخاطر المماثلة، قامت شركة مايكروسوفت بتوسيع نطاق فحص الخدمة السرية الخاصة بها بحثًا عن أي رموز SAS قد تكون لها امتيازات محدودة أو مفرطة. حددت الشركة أيضًا خللًا في نظام المسح الذي كان يشير إلى عناوين URL الخاصة بـ SAS في المستودع بنتائج غير صحيحة.

يقترح الباحثون أنه بسبب نقص الأمان والحوكمة لرموز حسابات SAS، فإن الاحتياط هو تجنب استخدامها للمشاركة الخارجية. يمكن التغاضي بسهولة عن أخطاء إنشاء الرمز والتي قد تؤدي إلى كشف البيانات الحساسة.

في وقت سابق في يوليو 2022، كشفت JUMPSEC Labs عن تهديد قد يستغل هذه الحسابات للوصول إلى الشركات.

هذا هو أحدث خرق أمني لشركة مايكروسوفت. قبل أسبوعين، كشفت الشركة أن قراصنة من الصين تمكنوا من اختراقها وسرقة مفاتيح شديدة الحماية. استولى قراصنة على حساب أحد مهندسي هذه الشركة، وحصلوا على مستودع التوقيع الرقمي الخاص بالمستخدم.

وقال أمي لوتواك، المدير التقني لشركة Wiz، إن الحادث الأخير يظهر المخاطر المحتملة لإدخال الذكاء الاصطناعي في الأنظمة الكبيرة، حيث إن الذكاء الاصطناعي يفتح إمكانات هائلة لشركات التكنولوجيا. ومع ذلك، مع تسابق علماء البيانات والمهندسين لوضع حلول الذكاء الاصطناعي الجديدة موضع الاستخدام، فإن الكميات الهائلة من البيانات التي يعالجونها تتطلب ضمانات أمنية وفحوصات إضافية.

مع حاجة العديد من فرق التطوير إلى العمل مع كميات هائلة من البيانات، ومشاركة تلك البيانات مع أقرانهم، أو التعاون في مشاريع مفتوحة المصدر عامة، أصبحت الحالات مثل حالة مايكروسوفت أكثر صعوبة في التتبع وتجنبها.