Laut The Hacker News hat Wiz Research – ein Cloud-Sicherheits-Startup – kürzlich ein Datenleck im GitHub-Repository von Microsoft AI entdeckt, das angeblich versehentlich bei der Veröffentlichung einer Gruppe von Open-Source-Trainingsdaten offengelegt wurde.
Zu den durchgesickerten Daten gehört ein Backup der Workstations zweier ehemaliger Microsoft-Mitarbeiter mit geheimen Schlüsseln, Passwörtern und mehr als 30.000 internen Nachrichten der Teams-App.
Das Repository mit dem Namen „robust-models-transfer“ ist derzeit nicht mehr zugänglich. Vor seiner Entfernung enthielt es Quellcode und Machine-Learning-Modelle im Zusammenhang mit einer Forschungsarbeit aus dem Jahr 2020.
Wiz erklärte, der Datenverstoß sei auf ein übermäßig anfälliges SAS-Token zurückzuführen, eine Funktion in Azure, die es Benutzern ermöglicht, Daten zu teilen, die sowohl schwer zu verfolgen als auch schwer zu widerrufen sind. Der Vorfall wurde Microsoft am 22. Juni 2023 gemeldet.
Dementsprechend wurden Entwickler in der README.md-Datei des Repositorys angewiesen, Modelle von einer Azure Storage-URL herunterzuladen, wodurch unbeabsichtigt Zugriff auf das gesamte Speicherkonto gewährt und somit weitere private Daten offengelegt wurden.
Zusätzlich zu den übermäßigen Zugriffen war das SAS-Token auch falsch konfiguriert und ermöglichte volle Kontrolle statt nur Lesezugriff, so die Forscher von Wiz. Ein Angriff könnte bedeuten, dass ein Angreifer alle Dateien im Speicherkonto nicht nur einsehen, sondern auch löschen und überschreiben könnte.
Microsoft erklärte in seiner Untersuchung, es seien keine Hinweise auf die Offenlegung von Kundendaten gefunden worden. Auch seien keine anderen internen Dienste durch den Vorfall gefährdet gewesen. Das Unternehmen betonte, dass Kunden nichts unternehmen müssten. SAS-Token seien widerrufen und sämtliche externen Zugriffe auf Speicherkonten gesperrt worden.
Um ähnliche Risiken zu minimieren, erweiterte Microsoft seinen geheimen Scan-Dienst, um nach SAS-Token mit möglicherweise eingeschränkten oder übermäßigen Berechtigungen zu suchen. Außerdem wurde ein Fehler im Scan-System identifiziert, der SAS-URLs im Repository als falsch positiv kennzeichnete.
Die Forscher weisen darauf hin, dass aufgrund mangelnder Sicherheit und Governance für SAS-Kontotoken die Vorsichtsmaßnahme darin besteht, diese nicht für die externe Freigabe zu verwenden. Fehler bei der Tokengenerierung können leicht umgangen werden und sensible Daten offenlegen.
Zuvor hatte JUMPSEC Labs im Juli 2022 eine Bedrohung offengelegt, die diese Konten ausnutzen könnte, um Zugriff auf Unternehmen zu erhalten.
Wiz Research hat vertrauliche Dateien im Backup gefunden
Dies ist die jüngste Sicherheitslücke bei Microsoft. Vor zwei Wochen gab das Unternehmen bekannt, dass Hacker aus China in das System eingedrungen waren und Hochsicherheitsschlüssel gestohlen hatten. Hacker übernahmen das Konto eines Ingenieurs des Unternehmens und griffen auf das digitale Signatur-Repository des Benutzers zu.
Der jüngste Vorfall zeige die potenziellen Risiken der Einführung von KI in großen Systemen, sagt Ami Luttwak, CTO von Wiz. Er betont, dass KI enormes Potenzial für Technologieunternehmen biete. Da Datenwissenschaftler und Ingenieure jedoch um die Implementierung neuer KI-Lösungen wetteifern, erfordern die enormen Datenmengen, die sie verarbeiten, zusätzliche Sicherheitskontrollen und -vorkehrungen.
Da viele Entwicklungsteams mit riesigen Datenmengen arbeiten, diese Daten mit ihren Kollegen teilen oder an öffentlichen Open-Source-Projekten zusammenarbeiten müssen, werden Fälle wie der von Microsoft immer schwieriger zu verfolgen und zu vermeiden.
[Anzeige_2]
Quellenlink
![[Foto] Premierminister Pham Minh Chinh nimmt an der Eröffnungszeremonie des Nationalen Rechenzentrums teil](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/8/18/b5724a9c982b429790fdbd2438a0db44)
Kommentar (0)