Microsoft araştırmacılarından skandal hata: Kazara verileri sızdırdılar
Microsoft'ta çalışan yapay zeka araştırma ekibi skandal bir hataya karıştı. Araştırmacılar, yanlışlıkla 38 TB'lık şirket verisini sızdırdı.
Siber güvenlik firması Wiz, Microsoft çalışanlarının bilgisayarlarının yedeklerini içeren dosyalar arasında bir bağlantı keşfetti. Diğer araştırmacılara açık kaynak kodu ve görüntü tanıma için yapay zeka modelleri sunmak amacıyla eğitim verilerini GitHub'a yükleyen Microsoft yapay zeka araştırma ekibi, yanlışlıkla 38 TB kişisel veriyi açığa çıkardı.
Wiz, söz konusu sızdırılan yedeklemelerin Microsoft hizmetlerine ait şifreleri, gizli anahtarları ve teknoloji devinin yüzlerce çalışanından gelen 30 binden fazla dahili Teams mesajını içerdiğini açıkladı. Ancak Microsoft, olayla ilgili kendi raporunda 'hiçbir müşteri verisinin açığa çıkmadığını ve başka hiçbir dahili hizmetin riske atılmadığını' ileri sürdü.
POTANSİYEL GİZLİLİK SORUNLARINA YOL AÇABİLİRDİ
Link, ilgilenen araştırmacıların önceden eğitilmiş modelleri indirebilmesi için kasıtlı olarak dosyalara dahil edildi; bu kısım tesadüf değildi. Microsoft araştırmacıları, kullanıcıların diğer kişilerin Azure Depolama hesaplarındaki verilere erişmesini sağlayan paylaşılabilir linkler oluşturmasına imkan tanıyan 'SAS belirteçleri' adı verilen bir Azure özelliğini kullandı. Kullanıcılar, SAS linkleri aracılığıyla hangi bilgilere erişilebileceğini seçebiliyorlardı. Araştırmacılar, depolama hesabının tamamına erişimi mümkün kılan bir link paylaştı.
Wiz, güvenlik sorununu 22 Haziran'da Microsoft'a bildirdi ve şirket, 23 Haziran'da durumu tamamen ele aldı. Microsoft ayrıca tüm genel depolarını yeniden taradığını ancak sisteminin bu özel linki 'yanlış pozitif' olarak işaretlediğini açıkladı.
Şirket daha sonra sorunu düzeltti, böylece sistem gelecekte amaçlanandan fazla izin veren SAS belirteçlerini tespit edebilecek.
Wiz'in tespit ettiği link düzeltilmiş olsa da, yanlış yapılandırılmış SAS belirteçleri potansiyel olarak veri sızıntılarına ve büyük gizlilik sorunlarına yol açabilirdi. Microsoft, 'SAS belirteçlerinin uygun şekilde oluşturulması ve kullanılması gerektiğini' kabul ediyor.
'da Takip Edin!
