۳۸ ترابایت از اطلاعات شخصی مایکروسافت فاش شد

به گزارش خبرگزاری علم و فناوری آنا به نقل از انگجت، محققان هوش مصنوعی مایکروسافت به اشتباه ۳۸ ترابایت اطلاعات شرکت را فاش کردند. این اتفاق از طریق یک پیوند «اس‌ای‌اس» (SAS) رخ داد که اجازه دسترسی به یک حساب ذخیره سازی کامل «آژر» (Azure) را می‌داد.

این تیم تحقیقاتی هوش مصنوعی مایکروسافت، داده‌های آموزشی را در «گیت‌هاب» (GitHub) آپلود می‌کردند تا به سایر محققان کد منبع باز و مدل‌های هوش مصنوعی برای تشخیص تصویر را ارائه دهند اما به طور سهوی ۳۸ ترابایت داده‌های شخصی را در معرض نمایش قرار دادند.

یک شرکت امنیت سایبری به نام «ویز» (Wiz) پیوندی را کشف کرد که حاوی نسخه‌های پشتیبان از رایانه‌های کارکنان مایکروسافت بود. این پیوندها عمداً همراه با فایل‌ها قرار داده شده بود تا محققان علاقه‌مند بتوانند مدل‌های از پیش آموزش دیده را دانلود کنند.

ویز می‌گوید: «این نسخه‌های پشتیبان حاوی رمز‌های عبور سرویس‌های مایکروسافت، کلید‌های مخفی و بیش از ۳۰ هزار پیام داخلی از صد‌ها کارمند غول فناوری بود.»

با این حال؛ مایکروسافت اطمینان می‌دهد که هیچ اطلاعاتی از مشتری‌ها افشا نشده و هیچ سرویس داخلی دیگری در معرض خطر قرار نگرفته است. 

محققان مایکروسافت از یک ویژگی آژر به نام «توکن‌های اس‌ای‌اس» (SAS tokens) استفاده کردند که به کاربران اجازه می‌دهد پیوند‌های قابل اشتراک‌گذاری ایجاد کنند. این ویژگی به افراد دیگر امکان دسترسی به داده‌های موجود در حساب «آژر استوریج» (Azure Storage) را می‌دهد.

کاربران می‌توانند انتخاب کنند که به چه اطلاعاتی می‌توان از طریق پیوند‌های اس‌ای‌اس دسترسی داشت؛ خواه یک فایل واحد، یک ظرف کامل یا کل فضای ذخیره سازی آن‌ها.

در مورد مایکروسافت، محققان پیوندی را به اشتراک گذاشتند که به حساب ذخیره سازی کامل دسترسی داشت. ویز مشکل امنیتی را در ۲۲ ژوئن کشف کرد و به مایکروسافت گزارش داد و این شرکت تا ۲۳ ژوئن توکن اس‌ای‌اس را لغو کرد.

مایکروسافت همچنین توضیح داد که تمام مخازن عمومی خود را مجدداً اسکن می‌کند، اما سیستمش این پیوند خاص را به عنوان مثبت نادرست علامت‌گذاری کرده است. 

این شرکت از آن زمان این مشکل را برطرف کرده است، به طوری که سیستم می‌تواند توکن‌های اس‌ای‌اس را که در آینده بیش از حد مجاز هستند، تشخیص دهد.

در حالی که پیوند خاص شناسایی شده توسط ویز برطرف شده است، توکن‌های اس‌ای‌اس با پیکربندی نادرست می‌توانند منجر به نشت داده‌ها و مشکلات بزرگ در حفظ حریم خصوصی شوند.

مایکروسافت اذعان می‌کند که توکن‌های اس‌ای‌اس باید به‌درستی ایجاد و مدیریت شوند. همچنین فهرستی از بهترین روش‌ها را هنگام استفاده از آن‌ها منتشر کرده که احتمالاً آن‌ها را اجرا می‌کند.