كشف فريق أبحاث الذكاء الاصطناعي في مايكروسوفت عن طريق الخطأ 38 تيرابايت من البيانات الحساسة، ومنها المفاتيح الخاصة وكلمات المرور والنسخ الاحتياطية الشخصية لحواسيب موظفي الشركة، وذلك أثناء نشر مجموعة من بيانات التدريب المفتوحة المصدر عبر GitHub.
واكتشفت شركة الأمن السحابي Wiz مستودع GitHub التابع لقسم أبحاث الذكاء الاصطناعي في مايكروسوفت كجزء من عملها المستمر في الكشف غير المقصود للبيانات المستضافة عبر السحابة.
ويتيح فريق أبحاث الذكاء الاصطناعي في الشركة لمستخدمي مستودع GitHub تنزيل النماذج من رابط حساب تخزين Azure، حيث يوفر هذا المستودع التعليمات البرمجية المفتوحة المصدر ونماذج الذكاء الاصطناعي للتعرف على الصور.
واكتشفت Wiz أن الرابط معد لمنح الأذونات عبر حساب التخزين بأكمله، مما يؤدي إلى الكشف عن البيانات الخاصة الإضافية عن طريق الخطأ.
وتحتوي البيانات معلومات شخصية حساسة، ومنها كلمات المرور لخدمات مايكروسوفت والمفاتيح السرية وأكثر من 30 ألف رسالة تيمز داخلية من 359 موظفًا من موظفي مايكروسوفت.
موضوعات ذات صلة بما تقرأ الآن:
كما أن الإعداد الخطأ للرابط سمح بالتحكم الكامل بدلًا من أذونات القراءة فقط، مما يعني إمكانية حذف المحتوى واستبداله بمحتوى محقون ببرمجيات ضارة.
وأضاف مطورو الذكاء الاصطناعي في مايكروسوفت رمزًا مميزًا سهلًا لتوقيع الوصول المشترك ضمن الرابط. وتعد الرموز المميزة لتوقيع الوصول المشترك بمثابة طريقة تستخدمها Azure للسماح للمستخدمين بإنشاء روابط قابلة للمشاركة تمنح الوصول إلى بيانات حساب تخزين Azure.
وقالت شركة Wiz: “يتسابق علماء البيانات لتقديم حلول جديدة للذكاء الاصطناعي للإنتاج، ولكن تتطلب الكميات الهائلة من البيانات التي يتعاملون معها فحوصات وضمانات أمنية إضافية”.
وأضافت: “تزداد صعوبة مراقبة الحالات المشابهة لحالة مايكروسوفت وتجنبها مع احتياج العديد من فرق التطوير إلى التعامل مع كميات هائلة من البيانات، أو مشاركتها مع أقرانهم أو التعاون في مشاريع عامة مفتوحة المصدر”.
وأوضحت Wiz أنها شاركت النتائج التي توصلت إليها مع مايكروسوفت، التي ألغت بدورها الرمز المميز لتوقيع الوصول المشترك. وقال مركز الاستجابة الأمنية التابع لشركة مايكروسوفت: “لم يُكشف عن أي بيانات للعملاء، ولم تتعرض أي خدمات داخلية أخرى للخطر بسبب هذه المشكلة”.
وقالت مايكروسوفت: “وسعنا خدمة GitHub التي تراقب جميع التغييرات العامة في التعليمات البرمجية المفتوحة المصدر للكشف عن النص العادي لبيانات الدخول وغيرها من الأسرار لتشمل أي رمز مميز لتوقيع الوصول المشترك قد يكون له فترات انتهاء صلاحية أو امتيازات إضافية”.
المصدر: البوابة العربية للأخبار التقنية