اكتشاف ثغرة أمنية في شركة مايكروسوفت بواسطة هاكرز من شركة Wiz .. نتج عنها تسريب 38 تيرابايت من البيانات

طبقًا لموقع Techrepublic، أجرت شركة مايكروسوفت إجراءات سريعة لسد ثغرة أمنية كبيرة في قسم أبحاث الذكاء الاصطناعي، وهذه الثغرة تسبب في تسرب كمية هائلة من البيانات تصل إلى 38 تيرا بايت، واُكتشفت هذه البواسطة القراصنة الإلكترونيين الأخلاقيين (هاكرز) من شركة Wiz لأمن السحابة، عن طريق تحديد رابط قابلة للمشاركة يستفيد من رموز نظام Azure للتحليل الإحصائي.

حدثت هذه الثغرة بسبب رمز توقيع مشترك مرتبط بحساب تخزين داخلي، إذ قام أحد موظفي الشركة بنشر عنوان URL علنيًا لمخزن Blob داخل Azure، هذا الرابط يحتوي على مجموعة من بيانات الذكاء الاصطناعي، وهذا ارابط كان موجودًا في مستودع GitHub، وكان الموظف يشارك في مشاريع التعلم المفتوح المصدر، واستغر الفريق هذا الرابط وحصلوا على أذونات للوصول إلى حساب التخزين بأكمله.

عندما وصلوا إلى الرابط اكتشف الفريق مستودعًا يحتوي على نسخ احتياطية من ملفات اثنين من الموظفين السابقين في الشركة، بما في ذلك الرسائل الخاصة من Microsoft Teams، ووصل حجم البيانات التي حصل عليها الفريق إلى 38 تيرا بايت، وكانت البيانات تشمل كلمات المرور وبيانات سرية ومواد تدريب الذكاء الاصطناعي.

لأن رموز SAS لا تنتهي صلاحيتها، فعي تعد غير مناسبة لنشر البيانات المهمة خارج الموقع، ونوه فريق القراصنة بأن القراصنة يستطيعون إنشاء رمز SAS ذو صلاحيات عالية، وفترة انتهاء طويلة للحفاظ على وصول صالح لفترات طويلة، كما أكدت مايكروسوفت أن البيانات لم تتضمن أي بيانات للعملاء، ولم يوجد أي تهديد لاختراق المنتجات أو خدمات الشركة بسبب هذا التسريب.

رغم كل الجهود في تدريب الذكاء الاصطناعي، فهذا يُعد تذكير قوي للتحديات الأمنية التي تواجهها البيانات مفتوحة المصدر، وتوصي شركة Wiz بضرورة التأكد من امتناع الموظفين عن مشاركة البيانات بإفراط، كما يجب الاستعداد للهجمات المحتملة، والحاجة للتعاون بين وحدات الأمان والبحث في المؤسسات.