អ្នកស្រាវជ្រាវ AI នៅក្រុមហ៊ុន Microsoft បានលេចធ្លាយទិន្នន័យ 38 TB ដោយចៃដន្យ

យោងតាម The Hacker News , Wiz Research ដែលជាការចាប់ផ្តើមសុវត្ថិភាពពពក - ថ្មីៗនេះបានរកឃើញការលេចធ្លាយទិន្នន័យនៅក្នុងឃ្លាំង GitHub របស់ Microsoft AI ដែលត្រូវបានគេនិយាយថាត្រូវបានលាតត្រដាងដោយចៃដន្យនៅពេលបោះពុម្ពក្រុមនៃទិន្នន័យបណ្តុះបណ្តាលប្រភពបើកចំហ។

ទិន្នន័យដែលលេចធ្លាយរួមមានការបម្រុងទុកនៃស្ថានីយការងាររបស់អតីតបុគ្គលិក Microsoft ចំនួនពីរដែលមានសោសម្ងាត់ ពាក្យសម្ងាត់ និងសារក្នុងកម្មវិធី Teams ច្រើនជាង 30,000។

ឃ្លាំងដែលមានឈ្មោះថា "robust-models-transfer" ឥឡូវនេះមិនអាចចូលប្រើបានទេ។ មុនពេលត្រូវបានដកចេញ ឃ្លាំងបានបង្ហាញពីកូដប្រភព និងគំរូរៀនម៉ាស៊ីនទាក់ទងនឹងឯកសារស្រាវជ្រាវឆ្នាំ 2020 ។

Wiz បាននិយាយថាការបំពានទិន្នន័យបានកើតឡើងដោយសារតែភាពងាយរងគ្រោះនៃ SAS tokens ដែលជាលក្ខណៈពិសេសនៅក្នុង Azure ដែលអនុញ្ញាតឱ្យអ្នកប្រើប្រាស់ចែករំលែកទិន្នន័យដែលពិបាកតាមដាន និងពិបាកក្នុងការដកហូត។ បញ្ហានេះត្រូវបានរាយការណ៍ទៅ Microsoft នៅថ្ងៃទី 6/22/2023។

ដូច្នោះហើយ ឯកសារ README.md របស់ឃ្លាំងបានណែនាំអ្នកអភិវឌ្ឍន៍ឱ្យទាញយកម៉ូដែលពី Azure Storage URL ដោយអចេតនាដោយផ្តល់នូវការចូលប្រើគណនីផ្ទុកទាំងមូល ដូច្នេះការលាតត្រដាងទិន្នន័យឯកជនបន្ថែម។

អ្នកស្រាវជ្រាវ Wiz បាននិយាយថា បន្ថែមពីលើជួរចូលប្រើច្រើនហួសហេតុនោះ សញ្ញាសម្ងាត់ SAS ក៏ត្រូវបានកំណត់រចនាសម្ព័ន្ធខុសផងដែរ ដែលអនុញ្ញាតឱ្យមានការគ្រប់គ្រងពេញលេញ ជំនួសឱ្យការគ្រាន់តែអាន។ ប្រសិនបើត្រូវបានកេងប្រវ័ញ្ច វាមានន័យថា hacker មិនត្រឹមតែអាចមើលប៉ុណ្ណោះទេប៉ុន្តែថែមទាំងលុប និងសរសេរជាន់លើឯកសារទាំងអស់នៅក្នុងគណនីផ្ទុកផងដែរ។

ឆ្លើយតបទៅនឹងរបាយការណ៍នេះ ក្រុមហ៊ុន Microsoft បាននិយាយថា ការស៊ើបអង្កេតរបស់ខ្លួនមិនបានរកឃើញភស្តុតាងនៃទិន្នន័យអតិថិជនត្រូវបានលាតត្រដាងនោះទេ ហើយក៏មិនមានសេវាកម្មខាងក្នុងផ្សេងទៀតដែលមានហានិភ័យដោយសារឧបទ្ទវហេតុនេះដែរ។ ក្រុមនេះបានសង្កត់ធ្ងន់ថា អតិថិជនមិនចាំបាច់ចាត់វិធានការណាមួយឡើយ ដោយនិយាយថា ខ្លួនបានដកហូតសញ្ញាសម្ងាត់ SAS និងបានបិទការចូលប្រើប្រាស់ខាងក្រៅទាំងអស់ទៅកាន់គណនីផ្ទុកទិន្នន័យ។

ដើម្បីកាត់បន្ថយហានិភ័យស្រដៀងគ្នានេះ ក្រុមហ៊ុន Microsoft បានពង្រីកការស្កេនសេវាកម្មសម្ងាត់របស់ខ្លួនសម្រាប់សញ្ញាសម្ងាត់ SAS ដែលអាចមានសិទ្ធិមានកំណត់ ឬលើសលប់។ ក្រុមហ៊ុនក៏បានកំណត់អត្តសញ្ញាណកំហុសនៅក្នុងប្រព័ន្ធស្កេនដែលដាក់ទង់ SAS URLs នៅក្នុងឃ្លាំងជាមួយនឹងលទ្ធផលមិនត្រឹមត្រូវ។

អ្នកស្រាវជ្រាវណែនាំថា ដោយសារកង្វះសុវត្ថិភាព និងអភិបាលកិច្ចសម្រាប់និមិត្តសញ្ញាគណនី SAS ការប្រុងប្រយ័ត្នគឺត្រូវជៀសវាងការប្រើពួកវាសម្រាប់ការចែករំលែកខាងក្រៅ។ កំហុសបង្កើតសញ្ញាសម្ងាត់អាចត្រូវបានមើលរំលងយ៉ាងងាយស្រួល និងបង្ហាញទិន្នន័យរសើប។

កាលពីមុនក្នុងខែកក្កដា ឆ្នាំ 2022 ក្រុមហ៊ុន JUMPSEC Labs បានបង្ហាញការគំរាមកំហែងដែលអាចកេងប្រវ័ញ្ចគណនីទាំងនេះដើម្បីទទួលបានសិទ្ធិចូលដំណើរការអាជីវកម្ម។

Các nhà nghiên cứu AI tại Microsoft vô tình lộ 38TB dữ liệu - Ảnh 1. — ឯកសាររសើបដែលបានរកឃើញនៅលើការបម្រុងទុកដោយ Wiz Research

នេះជាការរំលោភសុវត្ថិភាពចុងក្រោយបំផុតរបស់ Microsoft កាលពីពីរសប្តាហ៍មុន ក្រុមហ៊ុនបានបង្ហាញថាពួក Hacker មានប្រភពមកពីប្រទេសចិនបានលួចចូលនិងលួចសោសុវត្ថិភាពខ្ពស់។ ពួក Hacker បានចូលកាន់កាប់គណនីរបស់វិស្វករនៃសាជីវកម្មនេះ ហើយចូលប្រើឃ្លាំងហត្ថលេខាឌីជីថលរបស់អ្នកប្រើ។

Ami Luttwak - CTO នៃ Wiz CTO បាននិយាយថា AI បើកសក្តានុពលដ៏ធំសម្រាប់ក្រុមហ៊ុនបច្ចេកវិទ្យា។ ទោះជាយ៉ាងណាក៏ដោយ នៅពេលដែលអ្នកវិទ្យាសាស្ត្រ និងវិស្វករទិន្នន័យប្រជែងគ្នាដើម្បីដាក់ដំណោះស្រាយ AI ថ្មីឱ្យប្រើប្រាស់ ទិន្នន័យដ៏ច្រើនដែលពួកគេបានដំណើរការតម្រូវឱ្យមានការការពារសុវត្ថិភាព និងការត្រួតពិនិត្យបន្ថែម។

ជាមួយនឹងក្រុមអភិវឌ្ឍន៍ជាច្រើនដែលត្រូវធ្វើការជាមួយទិន្នន័យដ៏ច្រើន ចែករំលែកទិន្នន័យនោះជាមួយមិត្តភ័ក្តិរបស់ពួកគេ ឬសហការលើគម្រោងប្រភពបើកចំហសាធារណៈ ករណីដូចជាក្រុមហ៊ុន Microsoft គឺកាន់តែពិបាកក្នុងការតាមដាន និងជៀសវាង។

ប្រភពតំណ