Microsoft AI Araştırma Bölümü, Temmuz 2020’den itibaren açık kaynaklı yapay zeka öğrenme modellerini bir halka açık GitHub deposuna katkıda bulunurken yanlışlıkla hassas verilerin düzinelerce terabaytını sızdırdı.
Neredeyse üç yıl sonra, bu olayı bulan güvenlik şirketi Wiz‘in güvenlik araştırmacıları tarafından keşfedildi. Bir Microsoft çalışanının, sızdırılan bilgileri içeren yanlış yapılandırılmış bir Azure Blob depolama kovasının URL’sini kazara paylaştığını tespit etti.
Microsoft, veri sızıntısını, paylaşılan dosyalar üzerinde tam kontrol sağlayan aşırı derecede izinli bir Paylaşılan Erişim İmzası (SAS) belgesi kullanımına bağladı. Bu Azure özelliği, Wiz araştırmacıları tarafından izlemesi ve geri alması zor olarak tanımlanan bir şekilde veri paylaşımına olanak tanır. Doğru kullanıldığında Paylaşılan Erişim İmzası (SAS) belgeleri, depolama hesabınız içindeki kaynaklara atanmış erişim sağlamanın güvenli bir yolunu sunar.
Bu, istemcinin veri erişimi üzerinde kesin kontrol sağlamayı, etkileşimde bulunabilecekleri kaynakları belirlemeyi, bu kaynaklarla ilgili izinlerini tanımlamayı ve SAS belgesinin geçerlilik süresini belirlemeyi içerir.
“Wiz, izleme ve yönetim eksikliği nedeniyle SAS belgelerinin bir güvenlik riski oluşturduğunu ve kullanımlarının mümkün olduğunca sınırlı olması gerektiğini belirtti. Bu belgelerin izlenmesi çok zor olduğundan, Microsoft Azure portalı içinde bunları yönetmek için merkezi bir yol sağlamaz,”
Wiz bugün uyardı. “Ayrıca, bu belgeler, süresiz olarak etkili bir şekilde sürdürülecek şekilde yapılandırılabilir ve dış paylaşım için hesap SAS belgelerinin üst sınırı olmadığı için, bunları kullanmak güvensizdir ve kaçınılmalıdır.”
Wiz Araştırma Ekibi, açık kaynaklı modellerin yanı sıra iç depolama hesabının yanlışlıkla 38 terabayt değerinde ek özel veriye erişime izin verdiğini buldu.
Sızan veriler, Microsoft çalışanlarına ait kişisel bilgi yedeklerini, Microsoft hizmetleri için şifreleri, gizli anahtarları ve 359 Microsoft çalışanından gelen 30.000’den fazla iç Microsoft Teams iletilerini içeriyordu.
Microsoft Güvenlik Yanıt Merkezi (MSRC) ekibinin pazartesi günü yaptığı bir açıklamada, müşteri verisinin sızmadığını ve bu olay nedeniyle diğer iç hizmetlerin tehlikede olmadığını belirtti.
Wiz, olayı 22 Haziran 2023’te MSRC’ye bildirdi ve SAS belgesini engellemek için 24 Haziran 2023’te dış erişimi kapatmak için harekete geçti.
Wiz CTO & Kurucu Ortağı Ami Luttwak, “Yapay zeka, teknoloji şirketleri için büyük potansiyel açığa çıkarıyor. Ancak veri bilimcileri ve mühendisler, yeni yapay zeka çözümlerini üretime taşıma yarışında, ele aldıkları büyük miktardaki veriler ek güvenlik kontrolleri ve korumalar gerektiriyor,” dedi. “Bu yeni teknoloji, büyük veri kümesi üzerinde eğitim yapmayı gerektirir. Birçok geliştirme ekibinin büyük miktarda veriyle çalışması, veriyi akranlarıyla paylaşması veya açık kaynaklı projelerde işbirliği yapması gerektiğinden, Microsoft gibi durumlar izlemesi ve önlemesi giderek zorlaşıyor.”
Kaynak: Microsoft leaks 38TB of private data via unsecured Azure storage (bleepingcomputer.com)