Microsoft 19-sentabr, dushanba kuni 38 terabayt shaxsiy ma’lumotlarning fosh etilishiga olib kelgan xavfsizlik xatosini tuzatish choralarini ko’rganini aytdi.
Voqea kompaniyaning AI GitHub omborida aniqlangan va ochiq manbali o‘quv ma’lumotlarini chop etish chog‘ida beixtiyor ommaga e’lon qilingan. Shuningdek, ushbu ma’lumotlar tarqalishi maxfiy ma’lumotlar, kalitlar, parollar va 30 000 dan ortiq ichki Teams xabarlarini o’z ichiga olgan ikkita sobiq xodimlarning ish stansiyalarining diskdagi zaxira nusxasini o’z ichiga oladi.
“Rubust-models-transfer” deb nomlangan omborga endi kirish imkoni yo’q. O’chirib tashlanishidan oldin u 2020-yilgi tadqiqot maqolasiga tegishli manba kodi va mashinani o’rganish modellarini taqdim etgan edi. Muammo 2023-yil 22-iyun kuni Microsoftga xabar qilingan.
Wiz tadqiqotchilari Hillai Ben-Sasson va Ronni Grinberg: “Haddan tashqari ruxsat etilgan kirish doirasiga qo’shimcha ravishda, kirish tokeni faqat o’qish o’rniga to’liq nazorat qilish ruxsatini berish uchun noto’g’ri sozlangan”. Bu orqali tajovuzkor nafaqat saqlash hisobidagi barcha fayllarni ko’rishi, balki mavjud fayllarni o’chirib tashlashi va qayta yozishi mumkin bo’lgan.
Kelgusida bunday xavflarni kamaytirish uchun kompaniya o’zining maxfiy skanerlash xizmatini haddan tashqari ruxsat etilgan, amal qilish muddati yoki imtiyozlarga ega bo’lishi mumkin bo’lgan har qanday SAS tokenini o’z ichiga olgan holda kengaytirdi.
Bu noto’g’ri sozlangan Azure saqlash hisoblarining birinchi marta paydo bo’lishi emas. 2022-yil iyul oyida JUMPSEC Labs noma’lum xakkerlar korxona ichidagi muhitga kirish uchun bunday hisoblardan foydalanishi mumkin bo‘lgan stsenariyni ta’kidlagan edi.
Ushbu ishlanma Microsoftning xavfsizlik sohasidagi so‘nggi qo‘pol xatolaridan biri bo‘lib, kompaniya Xitoyda joylashgan xakkerlar muhandisning korporativ akkauntini buzib, kompaniya tizimlariga kirishi va o‘ta sezgir imzo kalitini o‘g‘irlaganligini oshkor qilganidan deyarli ikki hafta o‘tib sodir bo‘ldi.
“AI texnologiya kompaniyalari uchun ulkan salohiyatni ochib beradi. Biroq, ma’lumotlar olimlari (data scientist) va muhandislar ishlab chiqarishga yangi AI yechimlarini kiritish uchun poygalashgani sababli, ular boshqaradigan katta hajmdagi ma’lumotlar qo’shimcha xavfsizlik tekshiruvlari va himoya choralarini talab qiladi”, – dedi Wiz CTO va hammuassisi Ami Luttvak o’z bayonotida.
Manba: Havola
