19 Nisan Salı gününün çok erken saatlerinden itibaren sızdırılan Microsoft belgeleri dahilinde ortaya çıkan bilgileri sizlerle paylaşıyoruz. Bu bilgiler arasında Xbox konsollarının geleceği, yeni gelecek oyunlar ve birçok şey yer alıyor. Ancak görünüşe göre çok daha fazlası mevcutmuş.
Microsoft’tan sızdırılan verilerin boyutu tam 306 tane Starifeld ediyor: 38 TB!
Microsoft araştırmacılarının 38TB’lık gizli bilgiyi yanlışlıkla şirketin GitHub sayfasına sızdırdığı ve bu bilgilerin herkes tarafından görülebileceği ortaya çıktı. Veri hazinesi arasında, iki eski çalışanın iş istasyonlarının anahtarlar, şifreler, sırlar ve 30.000’den fazla özel Teams mesajı içeren bir yedeği vardı.
Bulut güvenlik firması Wiz’e göre, sızıntı Microsoft’un yapay zeka GitHub deposunda yayınlandı ve yanlışlıkla açık kaynaklı eğitim verilerinin bir dilimine dahil edildi. Bu da ziyaretçilerin bu verileri indirmeye teşvik edildiği, yani verilerin tekrar tekrar yanlış ellere geçebileceği anlamına geliyor.
Veri ihlalleri her türlü kaynaktan gerçekleşebilir, ancak bunun kendi yapay zeka araştırmacılarından kaynaklanması Microsoft için özellikle utanç verici. The Wiz’in haberine göre Microsoft verileri, kullanıcıların Azure Storage hesapları aracılığıyla veri paylaşmasına olanak tanıyan bir Azure özelliği olan Paylaşılan Erişim İmzası (SAS) belirteçlerini kullanarak yükledi.
Depoya gelen ziyaretçilere eğitim verilerini sağlanan bir URL’den indirmeleri söylendi. Ancak web adresi, planlanan eğitim verilerinden çok daha fazlasına erişim sağladı ve kullanıcıların herkese açık olması amaçlanmayan dosya ve klasörlere göz atmasına izin verdi.
Daha da kötüsü Wiz’in bildirdiğine göre, tüm bunlara izin veren erişim belirteci, daha kısıtlayıcı salt okunur izinler yerine tam kontrol izinleri sağlayacak şekilde yanlış yapılandırılmıştı. Pratikte bu, URL’yi ziyaret eden herkesin bulduğu dosyaları yalnızca görüntüleyebileceği değil, silebileceği ve üzerine yazabileceği anlamına geliyordu.
Wiz bunun korkunç sonuçları olabileceğini açıklıyor. Depo yapay zeka eğitim verileriyle dolu olduğundan, kullanıcıların bu verileri indirerek bir komut dosyasına aktarmaları ve böylece kendi yapay zeka modellerini geliştirmeleri amaçlanmıştı.
Ancak yanlış yapılandırılmış izinleri sayesinde manipülasyona açık olduğu için, “bir saldırgan bu depolama hesabındaki tüm yapay zeka modellerine kötü amaçlı kod enjekte edebilir ve Microsoft’un GitHub deposuna güvenen her kullanıcı bundan etkilenebilirdi,” diye açıklıyor Wiz.
Siz ne düşünüyorsunuz? Düşüncelerinizi yorumlarda bizlerle paylaşmayı lütfen unutmayın.