Istraživači iz Microsofta, koji se bave vještačkom inteligencijom, slučajno su izložili desetine terabajta osetljivih podataka, uključujući privatne ključeve i lozinke, prilikom objavljivanja skladišta otvorenih podataka za obuku na GitHubu.
U istraživanju koje je podeljeno s TechCrunch-om, startap za bezbednost u oblaku, Wiz, izjavio je da je otkrio GitHub repozitorijum koji pripada Microsoftovoj istraživačkoj diviziji za vještačku inteligenciju kao deo svog kontinuiranog rada na slučajnom izlaganju podataka smeštenih u oblaku.
Korisnici GitHub repozitorijuma, koji je pružao otvoren kod i modele za veštačku inteligenciju za prepoznavanje slika, bili su upućeni da preuzmu modele s Azure Storage URL-a. Međutim, Wiz je otkrio da je ovaj URL konfigurisan da dozvoli pristup celom skladištu, slučajno izlažući dodatne privatne podatke.
Ovi podaci uključivali su 38 terabajta osetljivih informacija, uključujući lične rezervne kopije računara dvoje zaposlenih u Microsoftu. Podaci su takođe sadržavali druge lične podatke, uključujući lozinke za Microsoft usluge, tajne ključeve i više od 30.000 internih poruka Microsoft Teams-a od strane stotina zaposlenih u Microsoftu.
URL koji je izlagao ove podatke od 2020. godine bio je takođe netačno konfigurisan da omogući “potpunu kontrolu”, umesto “samo za čitanje”, prema Wizu, što je značilo da svako ko zna gde da traži potencijalno može da ih obriše, zameni i ubaci zlonamerni sadržaj.
Wiz napominje da skladište nije bilo direktno izloženo. Umesto toga, razvojni inženjeri Microsofta za veštačku inteligenciju uključili su previše dozvoljavajući zajednički potpis za pristup (SAS) token u URL-u. SAS tokeni su mehanizam koji koristi Azure i omogućava korisnicima da kreiraju deljive linkove koji dodeljuju pristup podacima u Azure Storage nalogu.
“Vještačka inteligencija otvara ogroman potencijal za tehnološke kompanije”, izjavio je suosnivač i CTO Wiza, Ami Luttwak, za TechCrunch. “Međutim, kako data scientisti i inženjeri žure da donesu nove rešenja veštačke inteligencije u proizvodnju, masivne količine podataka koje obrađuju zahtevaju dodatne sigurnosne provere i mere opreza. S obzirom na to da mnogi razvojni timovi trebaju da manipulišu masivnim količinama podataka, dele ih s kolegama ili sarađuju na javnim projektima otvorenog koda, slučajevi poput Microsoftovog postaju sve teži za praćenje i izbegavanje.”
Wiz je izjavio da je svoje nalaze podelio s Microsoftom 22. juna, a Microsoft je opozvao SAS token dva dana kasnije, 24. juna. Microsoft je izjavio da je završio svoje istraživanje o potencijalnim organizacionim uticajima 16. avgusta.
U blog postu podeljenom s TechCrunch-om pre objavljivanja, Microsoftov Security Response Center izjavio je da “nijedni podaci korisnika nisu bili izloženi i nijedne druge interna usluge nisu bile ugrožene zbog ovog problema.”
Microsoft je izjavio da je kao rezultat Wizovog istraživanja proširio GitHub-ovu uslugu tajni, koja prati sve promene u javnom kodu otvorenog koda u potrazi za izlaganjem lozinki i drugih tajni kako bi obuhvatala bilo koji SAS token koji može imati previše dozvoljene isteka ili privilegija.
“više od 30.000 internih poruka Microsoft Teams-a od strane stotina zaposlenih u Microsoftu.”
sigurno su poruke bile u stilu: idemo sutra na paradu ili ćemo doma?
Ovakve greske i problemi pokazuju koliko je pouzdano oslanjati se na digitaliju. Zamislite kad ne bude vise gotovine nego samo digitalnog novca, i nekom slicnom greskom ili propustom koji iskoriste zlonamerni hakeri ljudi ili cele drzave ostanu u potpunom haosu i rasulu!
Mislite da se slucajno prelazi na digitaliju? Da, da…
Izgleda da su se izgubili u beskonačnim kombinacijama AI.
U drugom koraku će Majkrosoft biti ugašen od strane AI kao neproduktivan a zaposleni će dobiti šatore od 40000USD uz otpremninu.
Nije to slučajno.
sve sam razumio,a ništa mi nije jasno, pametna glupost zamjenila je glupu pamet.
eto brišite i ovo za zbogom i nikad više
Gnosticki tekst ‘Hipostaza Arkonata’ priča kako su neki Arhonati u svojoj oholosti otpali od Vječnosti, pa poželjeli biti poput boga i stvoriti biće (čovjeka), ali u tome nisu uspjeli. Stvorili su materjalnu ljušturu, ali duh u njega ulazi posve neovisno o njima. Negdje u Arkonima ostala je fascinacija Vječnošću, od koje su otpali, a čak ih je i njen odraz fascinirao…. Postojanje prave (nematerjalne) i lažne, prividne (materjalne) koja je tek blijedi odraz nematerjalnog svijeta. Svi napori Arhonata koji su se odvojili od sveukupnosti i žele sami biti moćni kao sveukupnonst, zapravo su dio plana sveukupnosti, mada u svojoj aroganciji to neznaju. Drugim rječima, i oni su samo lutke na koncu šire priče, baš kao što suvremeni transhumanisti iz parazitskih razloga rade na stapanju čovjeka i stroja, ali time nehotice ubrzavaju duhovnu evoluciju čovjeka, što je baš suprotno od onoga što bi sami htjeli. Drugim riječima, zbog same svoje prirode,… Čitaj više »