38TB data tidak sengaja terekspos oleh para peneliti AI Microsoft

 (wiz.io)
7 poin oleh GN⁺ 2023-09-19 | 1 komentar | Bagikan ke WhatsApp
  • Tim riset AI Microsoft secara tidak sengaja mengekspos 38 terabita data pribadi saat merilis data pelatihan open source di GitHub
  • Data yang terekspos mencakup cadangan disk workstation milik dua karyawan, rahasia, kunci pribadi, kata sandi, serta lebih dari 30.000 pesan internal Microsoft Teams
  • Data ini dibagikan menggunakan token SAS, fitur Azure yang memungkinkan berbagi data dari akun Azure Storage. Namun, tautan tersebut dikonfigurasi untuk membagikan seluruh akun penyimpanan sehingga data terekspos
  • Insiden ini menyoroti risiko baru yang dihadapi organisasi saat memanfaatkan AI, serta menunjukkan perlunya pemeriksaan keamanan tambahan dan guardrail ketika semakin banyak engineer menangani data pelatihan dalam skala besar
  • Tim riset Wiz menemukan kebocoran ini saat mencari container penyimpanan yang salah konfigurasi di internet
  • Mereka menemukan repositori GitHub bernama robust-models-transfer di bawah organisasi Microsoft, yang dibuat untuk menyediakan kode open source dan model AI untuk pengenalan gambar, tetapi karena salah konfigurasi, URL yang ada memungkinkan akses ke lebih dari sekadar model open source
  • Token yang digunakan juga salah dikonfigurasi dengan izin "kontrol penuh", sehingga penyerang dapat melihat, menghapus, dan menimpa file yang sudah ada
  • Insiden ini menekankan risiko keamanan token SAS, yang dapat memberikan tingkat akses tinggi ke akun penyimpanan dan dapat menimbulkan masalah kedaluwarsa. Selain itu, token ini juga sulit dikelola dan dicabut
  • Tim riset Wiz menyarankan untuk menghindari penggunaan Account SAS untuk berbagi eksternal karena kurangnya keamanan dan tata kelola, serta menggunakan Stored Access Policy atau User Delegation SAS untuk berbagi dengan batas waktu
  • Tim tersebut juga merekomendasikan pembuatan akun penyimpanan khusus untuk berbagi eksternal dan penggunaan CSPM untuk melacak serta menegakkan kebijakan
  • Insiden ini mengingatkan tim keamanan untuk memahami risiko keamanan yang melekat di setiap tahap proses pengembangan AI, termasuk risiko berbagi data berlebihan dan serangan supply chain
  • Microsoft kemudian membatalkan token SAS tersebut dan menggantinya di GitHub, serta menyelesaikan penyelidikan internal atas potensi dampaknya

Bacaan terkait

1 komentar

 
GN⁺ 2023-09-19
Opini Hacker News
  • Artikel tentang insiden kebocoran data oleh para peneliti AI Microsoft, tetapi para komentator menunjukkan bahwa ini tidak berhubungan langsung dengan AI
  • Masalah ini lebih berkaitan dengan penyedia cloud, token keamanan yang membingungkan, dan penanganan unduhan data dalam skala besar
  • Salah satu risiko spesifik AI yang disorot adalah penggunaan objek Python yang diserialisasi untuk menyimpan model AI besar, yang dapat diobfuscasi dan berpotensi berisi kode berbahaya
  • Insiden ini disebabkan oleh salah konfigurasi token penyimpanan, dan merupakan kasus umum yang menekankan perlunya pengujian penetrasi secara rutin
  • Penggunaan file Pickle dan token SAS di penyimpanan Azure dikritik, dan disarankan untuk menggunakan role-based access control (RBAC) sebagai gantinya
  • Insiden ini mengungkap tidak adanya defense in depth; token SAS tidak memiliki masa kedaluwarsa, memberikan akses yang sangat luas, dan bahkan mencakup cadangan mesin dengan token mereka sendiri
  • Ada saran untuk memusnahkan semua rahasia dan variabel lingkungan, dan bahwa sebagian besar sistem dapat beroperasi berbasis peran
  • Insiden ini tampak sebagai kegagalan manusia dalam pembuatan token keamanan, dan disarankan agar organisasi menetapkan OrgPolicy untuk mencegah pembagian massal token/autentikasi kredensial
  • Ada keterkejutan bahwa seseorang dapat mengekspor pesan Teams dari Teams
  • Kebocoran data berlangsung selama dua tahun dan diperbaiki dua bulan lalu
  • Beberapa komentator tidak menyukai sistem manajemen kunci Azure, dan mengusulkan bahwa akan lebih baik jika setiap kontainer memiliki kunci bernama tak terbatas
  • Insiden ini tampaknya membuktikan sulitnya keamanan cloud, di mana satu atau dua kesalahan dapat mengekspos data hingga terabyte