माइक्रोसॉफ्ट ने सोमवार को कहा कि उसने उस गंभीर सुरक्षा चूक को ठीक करने के लिए कदम उठाए हैं जिसके कारण 38 टेराबाइट्स का निजी डेटा उजागर हो गया था।
विज़ ने कहा कि कंपनी के एआई गिटहब रिपॉजिटरी पर लीक का पता चला था और कहा जाता है कि ओपन-सोर्स प्रशिक्षण डेटा की एक बाल्टी प्रकाशित करते समय इसे अनजाने में सार्वजनिक कर दिया गया था। इसमें दो पूर्व कर्मचारियों के कार्यस्थानों का डिस्क बैकअप भी शामिल है जिसमें रहस्य, चाबियाँ, पासवर्ड और 30,000 से अधिक आंतरिक टीम संदेश शामिल हैं।
भंडार, जिसका नाम “मजबूत-मॉडल-स्थानांतरण,” अब पहुंच योग्य नहीं है। इसके हटाए जाने से पहले, इसमें a से संबंधित स्रोत कोड और मशीन लर्निंग मॉडल शामिल थे 2020 शोध पत्र शीर्षक “क्या प्रतिकूल रूप से मजबूत इमेजनेट मॉडल बेहतर स्थानांतरण करते हैं?”
“एक्सपोज़र अत्यधिक अनुमति के परिणाम के रूप में आया एसएएस टोकन – एक एज़्योर सुविधा जो उपयोगकर्ताओं को डेटा को ऐसे तरीके से साझा करने की अनुमति देती है जिसे ट्रैक करना कठिन है और रद्द करना भी कठिन है,” विज़ कहा एक रिपोर्ट में. यह समस्या 22 जून, 2023 को Microsoft को सूचित की गई थी।
विशेष रूप से, रिपॉजिटरी की README.md फ़ाइल ने डेवलपर्स को Azure स्टोरेज URL से मॉडल डाउनलोड करने का निर्देश दिया, जिसने गलती से पूरे स्टोरेज खाते तक पहुंच भी प्रदान कर दी, जिससे अतिरिक्त निजी डेटा उजागर हो गया।
विज़ के शोधकर्ता हिलई बेन-सैसन और रोनी ग्रीनबर्ग ने कहा, “अत्यधिक अनुमेय पहुंच के दायरे के अलावा, टोकन को केवल पढ़ने के बजाय” पूर्ण नियंत्रण “अनुमतियों की अनुमति देने के लिए गलत तरीके से कॉन्फ़िगर किया गया था।” “मतलब, एक हमलावर न केवल स्टोरेज खाते की सभी फाइलों को देख सकता है, बल्कि वे मौजूदा फाइलों को हटा और अधिलेखित भी कर सकता है।”
निष्कर्षों के जवाब में, Microsoft कहा इसकी जांच में ग्राहक डेटा के अनधिकृत प्रदर्शन का कोई सबूत नहीं मिला और “इस मुद्दे के कारण किसी अन्य आंतरिक सेवाओं को जोखिम में नहीं डाला गया।” इसमें इस बात पर भी जोर दिया गया कि ग्राहकों को अपनी ओर से कोई कार्रवाई करने की जरूरत नहीं है।
विंडोज़ निर्माताओं ने आगे कहा कि इसने एसएएस टोकन को रद्द कर दिया और स्टोरेज खाते तक सभी बाहरी पहुंच को अवरुद्ध कर दिया। जिम्मेदार खुलासे के बाद समस्या का समाधान हो गया।
आगे चलकर ऐसे जोखिमों को कम करने के लिए कंपनी ने इसका विस्तार किया है गुप्त स्कैनिंग सेवा किसी भी एसएएस टोकन को शामिल करने के लिए जिसमें अत्यधिक अनुमेय समाप्ति या विशेषाधिकार हो सकते हैं। इसने कहा कि उसने अपने स्कैनिंग सिस्टम में एक बग की भी पहचान की है जिसने रिपॉजिटरी में विशिष्ट एसएएस यूआरएल को गलत सकारात्मक के रूप में चिह्नित किया है।
शोधकर्ताओं ने कहा, “खाता एसएएस टोकन पर सुरक्षा और शासन की कमी के कारण, उन्हें खाता कुंजी के समान ही संवेदनशील माना जाना चाहिए।” “इसलिए, बाहरी साझाकरण के लिए खाता एसएएस का उपयोग करने से बचने की अत्यधिक अनुशंसा की जाती है। टोकन निर्माण की गलतियाँ आसानी से किसी का ध्यान नहीं जा सकती हैं और संवेदनशील डेटा को उजागर कर सकती हैं।”
पहचान नया समापन बिंदु है: आधुनिक युग में सास सुरक्षा में महारत हासिल करना
एडेप्टिव शील्ड के सीईओ माओर बिन के साथ SaaS सुरक्षा के भविष्य के बारे में गहराई से जानें। पता लगाएं कि पहचान नया समापन बिंदु क्यों है। अभी अपना स्थान सुरक्षित करें.
यह पहली बार नहीं है कि गलत कॉन्फ़िगर किए गए Azure संग्रहण खाते प्रकाश में आए हैं। जुलाई 2022 में, JUMPSEC लैब्स पर प्रकाश डाला एक ऐसा परिदृश्य जिसमें कोई खतरा पैदा करने वाला व्यक्ति उद्यम के ऑन-प्रिमाइसेस वातावरण तक पहुंच प्राप्त करने के लिए ऐसे खातों का लाभ उठा सकता है।
यह विकास माइक्रोसॉफ्ट में नवीनतम सुरक्षा चूक है और कंपनी के लगभग दो सप्ताह बाद आया है दिखाया गया चीन में स्थित हैकर्स कंपनी के सिस्टम में घुसपैठ करने और एक इंजीनियर के कॉर्पोरेट खाते से समझौता करके और संभवतः उपभोक्ता हस्ताक्षर प्रणाली के क्रैश डंप तक पहुंच कर एक अत्यधिक संवेदनशील हस्ताक्षर कुंजी चुराने में सक्षम थे।
विज़ सीटीओ और सह-संस्थापक अमी लुटवाक ने कहा, “एआई तकनीकी कंपनियों के लिए बड़ी संभावनाओं को खोलता है। हालांकि, डेटा वैज्ञानिक और इंजीनियर उत्पादन में नए एआई समाधान लाने के लिए दौड़ रहे हैं, इसलिए बड़ी मात्रा में डेटा को संभालने के लिए अतिरिक्त सुरक्षा जांच और सुरक्षा उपायों की आवश्यकता होती है।” एक बयान।
“इस उभरती हुई तकनीक को प्रशिक्षित करने के लिए डेटा के बड़े सेट की आवश्यकता होती है। कई विकास टीमों को बड़ी मात्रा में डेटा में हेरफेर करने, इसे अपने साथियों के साथ साझा करने या सार्वजनिक ओपन-सोर्स परियोजनाओं पर सहयोग करने की आवश्यकता होती है, माइक्रोसॉफ्ट जैसे मामलों की निगरानी करना और उनसे बचना कठिन होता जा रहा है। “
