ตามรายงานของ The Hacker News บริษัท Wiz Research ซึ่งเป็นบริษัทสตาร์ทอัพด้านความปลอดภัยบนคลาวด์ ได้ค้นพบการรั่วไหลของข้อมูลในคลังข้อมูล GitHub ของ Microsoft AI เมื่อไม่นานนี้ โดยข้อมูลดังกล่าวถูกเปิดเผยโดยไม่ได้ตั้งใจเมื่อทำการเผยแพร่ชุดข้อมูลฝึกอบรมโอเพนซอร์ส

ข้อมูลที่รั่วไหลประกอบไปด้วยข้อมูลสำรองเวิร์กสเตชันของอดีตพนักงาน Microsoft สองคน พร้อมด้วยคีย์ลับ รหัสผ่าน และข้อความแอป Teams ภายในมากกว่า 30,000 ข้อความ

ไม่สามารถเข้าถึงที่เก็บข้อมูลชื่อ "robust-models-transfer" ได้แล้ว ก่อนที่จะถูกปิดลง ที่เก็บข้อมูลนี้ได้นำเสนอโค้ดต้นฉบับและโมเดลการเรียนรู้ของเครื่องที่เกี่ยวข้องกับเอกสารการวิจัยในปี 2020

Wiz กล่าวว่าการละเมิดข้อมูลเกิดขึ้นเนื่องจากช่องโหว่ของโทเค็น SAS ซึ่งเป็นฟีเจอร์ใน Azure ที่ช่วยให้ผู้ใช้สามารถแชร์ข้อมูลที่ทั้งติดตามได้ยากและเพิกถอนได้ยาก ปัญหาได้รับการรายงานไปยัง Microsoft เมื่อวันที่ 22/06/2023

ด้วยเหตุนี้ ไฟล์ README.md ของที่เก็บข้อมูลจึงสั่งให้นักพัฒนาดาวน์โหลดโมเดลจาก URL ที่เก็บข้อมูล Azure โดยให้สิทธิ์การเข้าถึงบัญชีที่เก็บข้อมูลทั้งหมดโดยไม่ได้ตั้งใจ จึงเปิดเผยข้อมูลส่วนตัวเพิ่มเติม

นอกเหนือจากระยะการเข้าถึงที่มากเกินไปแล้ว โทเค็น SAS ยังได้รับการกำหนดค่าไม่ถูกต้องอีกด้วย ซึ่งทำให้สามารถควบคุมได้เต็มรูปแบบแทนที่จะอ่านอย่างเดียว นักวิจัยของ Wiz กล่าว หากถูกใช้ประโยชน์ แสดงว่าแฮกเกอร์ไม่เพียงแต่สามารถดู แต่ยังสามารถลบและเขียนทับไฟล์ทั้งหมดในบัญชีที่จัดเก็บข้อมูลได้อีกด้วย

ในการตอบสนองต่อรายงานดังกล่าว Microsoft กล่าวว่าการสืบสวนไม่พบหลักฐานใดๆ ว่าข้อมูลลูกค้าถูกเปิดเผย และไม่มีบริการภายในอื่นๆ ที่มีความเสี่ยงเนื่องจากเหตุการณ์ดังกล่าว กลุ่มดังกล่าวย้ำว่าลูกค้าไม่จำเป็นต้องดำเนินการใดๆ โดยระบุว่าได้เพิกถอนโทเค็น SAS และปิดกั้นการเข้าถึงบัญชีที่จัดเก็บข้อมูลจากภายนอกทั้งหมดแล้ว

เพื่อบรรเทาความเสี่ยงที่คล้ายคลึงกัน Microsoft ได้ขยายบริการลับในการสแกนโทเค็น SAS ที่อาจมีสิทธิ์พิเศษที่จำกัดหรือมากเกินไป บริษัทพบจุดบกพร่องในระบบการสแกนที่ทำเครื่องหมาย URL ของ SAS ในที่เก็บข้อมูลด้วยผลลัพธ์ที่ไม่ถูกต้อง

นักวิจัยแนะนำว่า เนื่องจากโทเค็นบัญชี SAS ขาดการรักษาความปลอดภัยและการกำกับดูแล ดังนั้นจึงควรหลีกเลี่ยงการใช้โทเค็นเหล่านี้เพื่อการแบ่งปันภายนอก ข้อผิดพลาดในการสร้างโทเค็นอาจถูกมองข้ามได้ง่ายและเปิดเผยข้อมูลที่ละเอียดอ่อน

ก่อนหน้านี้ในเดือนกรกฎาคม พ.ศ. 2565 JUMPSEC Labs ได้เปิดเผยภัยคุกคามที่อาจใช้ประโยชน์จากบัญชีเหล่านี้เพื่อเข้าถึงธุรกิจต่างๆ

นี่คือการละเมิดความปลอดภัยครั้งล่าสุดของ Microsoft สองสัปดาห์ก่อน บริษัทได้เปิดเผยว่าแฮกเกอร์จากจีนสามารถเจาะระบบและขโมยคีย์ที่มีความปลอดภัยสูงได้ แฮกเกอร์เข้ายึดบัญชีของวิศวกรของบริษัทแห่งนี้ และเข้าถึงที่เก็บลายเซ็นดิจิทัลของผู้ใช้

เหตุการณ์ล่าสุดแสดงให้เห็นถึงความเสี่ยงที่อาจเกิดขึ้นจากการนำ AI มาใช้ในระบบขนาดใหญ่ โดย Ami Luttwak CTO ของ Wiz กล่าวว่า AI เปิดศักยภาพมหาศาลให้กับบริษัทด้านเทคโนโลยี อย่างไรก็ตาม ในขณะที่นักวิทยาศาสตร์ข้อมูลและวิศวกรเร่งกันนำโซลูชัน AI ใหม่ๆ มาใช้ ปริมาณข้อมูลมหาศาลที่พวกเขาประมวลผลจำเป็นต้องมีการป้องกันความปลอดภัยและการตรวจสอบเพิ่มเติม

เนื่องจากทีมพัฒนาจำนวนมากจำเป็นต้องทำงานกับข้อมูลจำนวนมหาศาล แบ่งปันข้อมูลนั้นกับเพื่อนร่วมงาน หรือร่วมมือกันในโครงการโอเพนซอร์สสาธารณะ จึงทำให้กรณีเช่นของ Microsoft กลายเป็นเรื่องยากขึ้นเรื่อยๆ ที่จะติดตามและหลีกเลี่ยง