استارتاپ امنیت فضای ابری به نام Wiz، در تحقیقاتی که با TechCrunch به اشتراک گذاشته شده است، اعلام کرد که یک مخزن GitHub را کشف کرده است که به بخش تحقیقات هوش مصنوعی مایکروسافت به صورت تصادفی اطلاعات ابری تعلق دارد، به عنوان بخشی از کارهایش در بررسی انفجاری اطلاعات مخزن‌های ابری.

مخاطبان مخزن GitHub، که کدهای اپن سورس و مدل‌های هوش مصنوعی را برای تشخیص تصاویر ارائه می‌کرد، ملزم بودند که مدل‌ها را از URL ذخیره‌سازی Azure دانلود کنند. با این حال، Wiz متوجه شد که این URL به نحوی تنظیم شده بود تا مجوز دسترسی برای تمام فضای ذخیره‌سازی را دربر بگیرد، که باعث لو رفتن اطلاعات خصوصی کارمندان مایکروسافت می‌شد.

اطلاعات لو رفته شامل 38 ترابایت از اطلاعات حساس، از جمله محتوای پشتیبان‌گیری کامپیوترهای شخصی دو کارمند مایکروسافت است. دیگر اطلاعات درز شده از جمله رمز عبورها برای خدمات مایکروسافت، کلیدهای مخفی و بیش از 30,000 پیام داخلی که توسط صدها کارمند تیم مایکروسافت ارسال شده است.

به گفته Wiz، این URL که از سال 2020 این اطلاعات را آشکار کرده بود، نیز به اشتباه تنظیم شده بود تا مجوز "کنترل کامل" را به جای "فقط خواندنی" ارائه دهد. به این معنی است که هر کسی که مجوز دسترسی داشت، می‌توانست محتواهای مخرب را حذف، جایگزین یا درج کند.

Wiz توضیح می‌دهد که اطلاعات حساب‌ها به طور مستقیم آشکار نشده بود. به جای آن، توسعه‌دهندگان هوش مصنوعی مایکروسافت یک توکن امضای دسترسی مشترک (SAS) که به طرز بیش از حد اجازه‌ دسترسی به اطلاعات را می‌داد به این URL ارائه داده بودند. توکن‌های SAS مکانیزمی هستند که توسط Azure استفاده می‌شوند تا به کاربران اجازه ایجاد پیوندهای قابل اشتراک برای دسترسی به داده‌های حساب ذخیره‌سازی Azure را بدهند.

آمی لاتواک، موسس و CTO شرکت Wiz گفت: هوش مصنوعی پتانسیل بزرگی را برای شرکت‌های فناوری باز می‌کند. اما در عین حالی که مهندسان و دانشمندان در تلاشند تا راه حل های جدیدی را کشف کنند باید از اطلاعاتی که با آنها سروکار دارند به خوبی محافظت کنند. دیگر توسعه‌دهندگان مشابه مایکروسافت که نیاز دارند داده‌های عظیمی را اداره کنند، آن را با هم‌کاران خود به اشتراک بگذارند یا در پروژه‌های متن‌باز عمومی همکاری کنند، به شدت از اطلاعات خود محافظت و از لو رفتن اطلاعات خود جلوگیری می‌کنند.

Wiz اعلام کرد که نتایج تحقیقات خود را در تاریخ 22 ژوئن به مایکروسافت ارائه داده و مایکروسافت توکن SAS را دو روز بعد، یعنی در تاریخ 24 ژوئن، لغو کرد. مایکروسافت اعلام کرد که تحقیقاتی خود را در رابطه با تأثیر این سازمان تا تاریخ 16 آگوست انجام داده است.

مرکز امنیت مایکروسافت در یک پست وبلاگی که قبل از انتشار آن با TechCrunch به اشتراک گذاشته شده بود اعلام کرد که "هیچ داده‌ی مشتری‌ای آشکار نشده و هیچ سرویس داخلی دیگری به دلیل این مسئله در معرض خطر قرار نگرفته است."

مایکروسافت اعلام کرده است که به عنوان نتیجه‌ای از تحقیقات Wiz، GitHub، سرویس میزبانی کد منبع باز را توسعه داده است. این توسعه‌دهی به GitHub امکان پنهان‌سازی کامل تغییرات در کدهای منبع باز را ایجاد کرده و از نظارت بر متن اسناد اعتباری و اطلاعات محرمانه دیگر جلوگیری می‌کند. همچنین، این به GitHub اجازه می‌دهد تا توکن‌هایی که برای دسترسی به منابع حساس نیاز دارند را از انتشار آزاد کند.

اگر به اخبار دنیای تکنولوژی علاقه مند هستید، ما را در شبکه‌های اجتماعی مختلف تلگرام، روبیکا، توییتر، اینستاگرام و آپارات همراهی کنید.