- Microsoft’un yapay zeka araştırmacıları, GitHub’da açık kaynak eğitim verilerinden oluşan bir depolama kümesini yayımlarken yanlışlıkla özel anahtarlar ve şifreler de dahil olmak üzere 38 terabayt hassas veriyi açığa çıkardı.
- Bu veriler, iki Microsoft çalışanının kişisel bilgisayarlarındaki kişisel yedekler de dahil olmak üzere 38 terabayt hassas bilgi içeriyordu.
- Ayrıca Microsoft hizmetlerinin şifreleri, gizli anahtarları ve yüzlerce Microsoft çalışanının 30.000’den fazla dahili Microsoft Teams mesajı da söz konusu veriler arasındaydı.
Microsoft’un yapay zeka araştırmacıları, GitHub’da açık kaynak eğitim verilerinden oluşan bir Storage Bucket’ını yayımlarken yanlışlıkla özel anahtarlar ve şifreler de dahil olmak üzere 38 terabayt hassas veriyi açığa çıkardı.
TechCrunch ile paylaşılan araştırmada; bulut güvenliği girişimi Wiz, bulutta barındırılan verilerin kazara açığa çıkmasıyla ilgili devam eden çalışmalarının bir parçası olarak Microsoft’un yapay zeka araştırma bölümüne ait bir GitHub deposu keşfettiğini söyledi.
Görüntü tanıma için açık kaynak kodu ve yapay zeka modelleri sağlayan GitHub deposunun okuyucularına, modelleri bir Azure Depolama URL’inden indirmeleri talimatı verildi. Ancak Wiz, bu URL’in tüm depolama hesabında izin verecek şekilde yapılandırıldığını ve yanlışlıkla ek özel verileri açığa çıkardığını tespit etti.
Bu veriler, iki Microsoft çalışanının kişisel bilgisayarlarındaki kişisel yedekler de dahil olmak üzere 38 terabayt hassas bilgi içeriyordu. Veriler ayrıca Microsoft hizmetlerinin şifreleri, gizli anahtarları ve yüzlerce Microsoft çalışanının 30.000’den fazla dahili Microsoft Teams mesajı olmak üzere diğer hassas verileri de içeriyordu.
Wiz’e göre 2020’den beri bu verileri ifşa eden URL yanlış yapılandırılmış, “salt okunur” izinler yerine “tam kontrol” olacak şekilde ayarlanmıştı. Bu da nereye bakacağını bilen herkesin potansiyel olarak silebileceği, değiştirebileceği ve kötü amaçlar için kullanabileceği anlamına geliyordu.
Wiz, depolama hesabının doğrudan ifşa edilmediğini belirtiyor. Bunun yerine Microsoft yapay zeka geliştiricileri, URL’e (SAS) belirteci eklemişler. SAS belirteçleri ise Azure tarafından kullanılan ve kullanıcıların bir Azure Depolama hesabının verilerine erişim sağlayan paylaşılabilir bağlantılar oluşturmasına olanak tanıyan bir mekanizma.
Wiz’in kurucu ortağı ve CTO’su Ami Luttwak TechCrunch’a verdiği demeçte, “Yapay zeka, teknoloji şirketleri için büyük bir potansiyelin kilidini açıyor. Ancak veri bilimciler ve mühendisler, yeni yapay zeka çözümlerini üretime geçirmek için yarışırken işledikleri büyük miktarda veri, ek güvenlik kontrolleri ve önlemleri gerektiriyor. Birçok geliştirme ekibinin büyük miktarda veriyi manipüle etmesi, meslektaşlarıyla paylaşması veya açık kaynak projelerinde iş birliği yapması gerektiğinden, Microsoft’unki gibi vakaları izlemek ve önlemek giderek zorlaşıyor.” ifadelerini kullandı.
Wiz, bulgularını 22 Haziran’da Microsoft ile paylaştığını ve Microsoft’un iki gün sonra 24 Haziran’da SAS tokenini iptal ettiğini söyledi. Microsoft, potansiyel kurumsal etkiye ilişkin araştırmasını 16 Ağustos’ta tamamladığını da ekledi. Şirketin Güvenlik Yanıt Merkezi, konuyla ilgili “hiçbir müşteri verisinin açığa çıkmadığını ve bu sorun nedeniyle başka hiçbir dahili hizmetin riske atılmadığını” söyledi.
Derleyen: Alp Eren Gümüş
