Microsoft Güvenlik Eksiklikleri Nedeniyle 38 Terabayt Veriyi Sızdırdı
Microsoft, yapay zeka modeli üzerinde çalışırken 38 terabayt hassas veriyinin public olarak erişilmesine neden oldu. Yapay zeka modellerini eğitmek birçok geliştirici arasında koordinasyon ve işbirliği gerektirir ve ek güvenlik kontrollerinin olması gerekir. Microsoft, bu konuda zafiyet gösterdi çünkü şirket yıllar boyunca büyük miktarda veriyi riske atmış olduğu ortaya çıktı.
Microsoft,20 Temmuz 2020 ile 24 Haziran 2023 arasında GitHub’da halka açık bir depo aracılığıyla geniş bir veri havuzunu genel web’e açık hale getirdi. Bulut güvenliği şirketi Wiz, bu zafiyeti 22 Haziran 2023’te keşfetti ve bildirdi. Bunun üzerine Microsoft iki gün sonra güvensiz tokenleri iptal etti.
Wiz araştırmacılarına göre Microsoft, Azure platformunun bir özelliği olan Shared Access Signature tokenlerını yanlış kullanarak 38 terabayt özel veriyi “robust-models-transfer” GitHub deposunda yanlışlıkla açtı. Bu arşiv, açık kaynak kodu ve görüntü tanıma için yapay zeka modellerini barındırmak için kullanılıyordu ve yapay zeka araştırmacıları dosyaları SAS token aracılığıyla paylaşıyorlardı.
SAS tokenlerı Azure Depolama alanlarında barındırılan verilere granüler erişim sağlamak için imzalı URL’leri paylaşmaya yarıyor.
Microsoft, AI modellerinin eğitim verilerinin yanı sıra iki çalışanın iş istasyonlarının disk yedeklemesini de paylaştı. Yedekleme, özel şifreleme anahtarları, şifreler ve 359 Microsoft çalışanına ait 30.000’den fazla iç Microsoft Teams mesajını içeriyordu. Microsoft, tehlikeli SAS tokenlerı 24 Haziran 2023 tarihine kadar iptal etmediğinden 38 terabayt özel dosyaya herkes erişebildi.
Yararlı olmalarına rağmen, SAS tokenleri izleme ve denetleme eksikliği nedeniyle güvenlik riski oluştururlar. Wiz, kullanımlarının “mümkün olduğunca sınırlı” olması gerektiğini belirtiyor çünkü bu tokenları Azure portalı üzerinden merkezi bir şekilde yönet çok zor. Ayrıca, SAS tokenları “sonsuza kadar” yapılandırılabilir. Microsoft’un AI GitHub deposuna eklediği ilk token 20 Temmuz 2020’de eklenmiş ve 5 Ekim 2021’e kadar geçerli kalmıştır. Ardından GitHub’a ikinci bir token eklenmiş ve sona erme tarihi 6 Ekim 2051 olarak ayarlanmıştı.
Sonuç olarak Microsoft bu tarz özel verileri içeren depolar konusunda daha hassas davranması ve düzenli olarak izlemesi büyük önem taşıyor.
Kaynak: cyberscoop.com