Pengungkapan insiden kebocoran Secret di platform Spaces milik Hugging Face

 (huggingface.co)
3 poin oleh GN⁺ 2024-06-03 | 1 komentar | Bagikan ke WhatsApp

Respons Hugging Face terhadap insiden keamanan

Ringkasan insiden

  • Akses tidak sah terdeteksi di platform Spaces milik Hugging Face.
  • Ada kemungkinan informasi rahasia dari sebagian Spaces telah diakses tanpa izin.

Tindakan penanganan

  • Sebagai langkah pertama, token HF yang terkait telah dicabut.
  • Pengguna yang terdampak telah diberi tahu melalui email.
  • Disarankan untuk menyegarkan semua key dan token, serta beralih dari token HF ke token akses berbutir halus.

Langkah penguatan keamanan

  • Sedang menyelidiki masalah ini dan meninjau kebijakan keamanan bersama pakar keamanan siber eksternal.
  • Sejumlah perbaikan penting telah diperkenalkan untuk memperkuat keamanan infrastruktur Spaces:
    • Token organisasi dihapus sepenuhnya untuk meningkatkan keterlacakan dan kemampuan audit.
    • Layanan manajemen kunci (KMS) diterapkan untuk informasi rahasia Spaces.
    • Kemampuan sistem diperkuat agar dapat mengidentifikasi token yang bocor dan menonaktifkannya lebih awal.
    • Keamanan secara keseluruhan ditingkatkan.
    • Setelah token akses berbutir halus menjadi sepenuhnya lengkap secara fungsional, mereka berencana menghentikan sepenuhnya token baca dan tulis "klasik".

Tindakan hukum

  • Insiden ini telah dilaporkan kepada aparat penegak hukum dan otoritas perlindungan data.

Panduan bagi pengguna

  • Mereka menyampaikan permintaan maaf yang mendalam atas ketidaknyamanan akibat insiden ini dan berjanji menjadikannya sebagai kesempatan untuk memperkuat keamanan seluruh infrastruktur.
  • Jika ada pertanyaan tambahan, pengguna disarankan menghubungi security@huggingface.co.

Opini GN⁺

  • Perlunya penguatan keamanan: Insiden ini kembali mengingatkan pentingnya penguatan keamanan pada platform perangkat lunak. Terutama, kontrol akses dan pemantauan terhadap informasi sensitif sangat penting.
  • Token akses berbutir halus: Token akses berbutir halus adalah cara yang baik untuk meningkatkan keamanan. Ini memungkinkan penerapan prinsip hak akses minimum dengan membatasi izin yang tidak diperlukan.
  • Kolaborasi dengan pakar eksternal: Kerja sama dengan pakar keamanan siber eksternal sangat membantu dalam penyelesaian masalah. Ini memungkinkan penanganan masalah kompleks yang sulit diselesaikan hanya dengan personel internal.
  • Respons hukum: Melaporkan insiden ini kepada aparat penegak hukum dan otoritas perlindungan data penting untuk menjaga transparansi dan memulihkan kepercayaan pengguna.
  • Komunikasi kepada pengguna: Memberi tahu pengguna secara cepat dan jelas tentang situasi ini sangat penting untuk menjaga kepercayaan. Hal ini memperkuat hubungan saling percaya dengan pengguna.

Bacaan terkait

1 komentar

 
GN⁺ 2024-06-03
Opini Hacker News
  • Jossef Harush Kadouri menemukan, dari slide yang dipresentasikan di konferensi keamanan, bahwa saat menggunakan model di tempat seperti Huggingface, pembuat model dapat mengeksekusi kode arbitrer di komputer pengguna.
  • Sebagai orang yang tidak berkecimpung di bidang AI, saya mengira file model hanyalah matriks angka dan metadata, tetapi kemudian memahami bahwa file tersebut sebenarnya terdiri dari skrip Python, sehingga standarisasi bisa dilakukan dengan mudah.
  • Ungkapan "mereka memiliki kecurigaan" tidak tepat digunakan dalam komunikasi seperti ini.
  • Huggingface telah melakukan banyak pekerjaan untuk meningkatkan infrastruktur keamanannya, dan ini seharusnya memicu lebih banyak aktivitas yang memakan waktu seperti audit keamanan dan uji penetrasi.
  • Beberapa minggu lalu, kunci OpenAI saya bocor dan hanya aktif di Huggingface Spaces. Beberapa hari lalu, saya menerima email bahwa Space saya telah dikompromikan.
  • Kunci Anthropic bocor dan menimbulkan biaya sebesar $10.000. Saya penasaran apakah Huggingface akan mengganti kerugian tersebut.
  • Karena judulnya, saya sempat mengira ini artikel tentang luar angkasa, tetapi ternyata artikel tentang Spaces milik Huggingface.
  • Tidak ada penyebutan tentang penanganan biaya yang timbul secara tidak semestinya. Jika seseorang mengakses rahasia, bukankah mereka bisa melakukan panggilan API dan menimbulkan biaya?
  • Saya penasaran apa itu "Spaces".
  • Saya tidak mengerti mengapa Huggingface menyimpan "rahasia". Sepertinya akan lebih baik menyimpan kunci publik dan membiarkan pengguna menandatangani permintaan dengan kunci rahasia.
  • Mengingat betapa sulitnya melakukan hal-hal sederhana, masalah kali ini tidak mengejutkan.