اكتشاف ثغرة أمنية في شركة مايكروسوفت بواسطة هاكرز من شركة Wiz .. نتج عنها تسريب 38 تيرابايت من البيانات
2 د
أغلقت مايكروسوفت ثغرة اكتشفها هاكرز من Wiz تسربت من خلالها 38TB من بيانات البحث في الذكاء الاصطناعي.
نشأت الثغرة من رمز SAS شاركه موظف في الشركة علنيًا في مستودع GitHub.
تشدد Wiz على المخاطر الجوهرية لمشاركة البيانات على نطاق واسع في البحوث الذكاء الاصطناعي وتحث الشركات على اليقظة ضد التسربات المحتملة.
طبقًا لموقع Techrepublic، أجرت شركة مايكروسوفت إجراءات سريعة لسد ثغرة أمنية كبيرة في قسم أبحاث الذكاء الاصطناعي، وهذه الثغرة تسبب في تسرب كمية هائلة من البيانات تصل إلى 38 تيرا بايت، واُكتشفت هذه البواسطة القراصنة الإلكترونيين الأخلاقيين (هاكرز) من شركة Wiz لأمن السحابة، عن طريق تحديد رابط قابلة للمشاركة يستفيد من رموز نظام Azure للتحليل الإحصائي.
حدثت هذه الثغرة بسبب رمز توقيع مشترك مرتبط بحساب تخزين داخلي، إذ قام أحد موظفي الشركة بنشر عنوان URL علنيًا لمخزن Blob داخل Azure، هذا الرابط يحتوي على مجموعة من بيانات الذكاء الاصطناعي، وهذا ارابط كان موجودًا في مستودع GitHub، وكان الموظف يشارك في مشاريع التعلم المفتوح المصدر، واستغر الفريق هذا الرابط وحصلوا على أذونات للوصول إلى حساب التخزين بأكمله.
عندما وصلوا إلى الرابط اكتشف الفريق مستودعًا يحتوي على نسخ احتياطية من ملفات اثنين من الموظفين السابقين في الشركة، بما في ذلك الرسائل الخاصة من Microsoft Teams، ووصل حجم البيانات التي حصل عليها الفريق إلى 38 تيرا بايت، وكانت البيانات تشمل كلمات المرور وبيانات سرية ومواد تدريب الذكاء الاصطناعي.
لأن رموز SAS لا تنتهي صلاحيتها، فعي تعد غير مناسبة لنشر البيانات المهمة خارج الموقع، ونوه فريق القراصنة بأن القراصنة يستطيعون إنشاء رمز SAS ذو صلاحيات عالية، وفترة انتهاء طويلة للحفاظ على وصول صالح لفترات طويلة، كما أكدت مايكروسوفت أن البيانات لم تتضمن أي بيانات للعملاء، ولم يوجد أي تهديد لاختراق المنتجات أو خدمات الشركة بسبب هذا التسريب.
رغم كل الجهود في تدريب الذكاء الاصطناعي، فهذا يُعد تذكير قوي للتحديات الأمنية التي تواجهها البيانات مفتوحة المصدر، وتوصي شركة Wiz بضرورة التأكد من امتناع الموظفين عن مشاركة البيانات بإفراط، كما يجب الاستعداد للهجمات المحتملة، والحاجة للتعاون بين وحدات الأمان والبحث في المؤسسات.
أحلى ماعندنا ، واصل لعندك! سجل بنشرة أراجيك البريدية
بالنقر على زر “التسجيل”، فإنك توافق شروط الخدمة وسياسية الخصوصية وتلقي رسائل بريدية من أراجيك
عبَّر عن رأيك
إحرص أن يكون تعليقك موضوعيّاً ومفيداً، حافظ على سُمعتكَ الرقميَّةواحترم الكاتب والأعضاء والقُرّاء.