Hàng loạt dữ liệu nội bộ "nhạy cảm" của Microsoft vô tình bị kỹ sư AI phát tán

Trong một sự cố không may vừa xảy ra, các nhà nghiên cứu AI của Microsoft đã vô tình làm lộ hàng chục terabyte dữ liệu nhạy cảm, bao gồm private key và mật khẩu trong khi họ xuất bản kho lưu trữ dữ liệu đào tạo nguồn mở trên GitHub. Sự việc này đã thu hút sự chú ý của cộng đồng an ninh mạng và đưa ra câu hỏi về bảo mật dữ liệu trong ngành công nghiệp trí tuệ nhân tạo (AI).

Wiz - một startup bảo mật đám mây, tiết lộ rằng họ đã phát hiện kho lưu trữ GitHub thuộc bộ phận nghiên cứu AI của Microsoft và đối diện với việc vô tình làm lộ dữ liệu được lưu trữ trên đám mây. Trong một cuộc nghiên cứu được chia sẻ với TechCrunch, Wiz đã tìm thấy rằng URL cung cấp quyền truy cập vào dữ liệu này đã bị ghi sai cấu hình, cho phép 'toàn quyền' thay vì chỉ quyền 'chỉ đọc', điều này dẫn đến việc lộ thêm dữ liệu riêng tư.

Dữ liệu bị rò rỉ này rất đáng lo ngại. Nó bao gồm 38 terabyte thông tin nhạy cảm, trong đó có bản sao lưu trên máy tính cá nhân của hai nhân viên Microsoft. Điều này còn kèm theo nhiều thông tin cá nhân nhạy cảm khác, bao gồm mật khẩu của các dịch vụ của Microsoft, key bí mật và hơn 30,000 tin nhắn Microsoft Teams nội bộ từ hàng trăm nhân viên Microsoft. Theo Wiz, URL đã tiết lộ dữ liệu này kể từ năm 2020 cũng bị cài đặt sai cấu hình, cho phép bất kỳ ai biết nơi tìm đều có thể xóa, thay thế và đưa nội dung độc hại vào trong đó.

Tài khoản lưu trữ không bị lộ trực tiếp, thay vào đó lỗ hổng bảo mật xuất phát từ việc các nhà phát triển AI của Microsoft đã bao gồm token SAS (Shared Access Signature) quá cẩu thả trong URL. Token SAS là một cơ chế được Azure sử dụng cho phép người dùng tạo các liên kết có thể chia sẻ để cấp quyền truy cập vào dữ liệu của tài khoản Azure Storage.

Cùng với việc tiết lộ sự cố này, những câu hỏi về bảo mật trong lĩnh vực AI đã được bàn luận. 'AI mở ra tiềm năng to lớn cho các công ty công nghệ' - đồng sáng lập Wiz và CTO Ami Luttwak đã chia sẻ với TechCrunch. 'Tuy nhiên, khi các nhà khoa học và kỹ sư dữ liệu chạy đua để đưa các giải pháp AI mới vào sản xuất, lượng dữ liệu khổng lồ mà họ xử lý đòi hỏi phải có các biện pháp bảo vệ và kiểm tra bảo mật bổ sung. Với việc nhiều nhóm phát triển cần thao tác với lượng dữ liệu khổng lồ, chia sẻ dữ liệu đó với các đồng nghiệp của họ hoặc cộng tác trong những dự án nguồn mở công cộng, những trường hợp như của Microsoft ngày càng khó theo dõi và tránh khỏi'.

May mắn thay, sau khi nhận được thông báo từ Wiz, Microsoft đã hành động nhanh chóng và thu hồi token SAS chỉ trong vòng hai ngày sau đó. Họ cũng đã tiến hành một cuộc điều tra về tác động tiềm tàng của sự việc và dự kiến sẽ kết thúc nó vào tháng 8. Trong một bài đăng trên blog, Trung tâm phản hồi bảo mật của Microsoft đã xác nhận rằng không có dữ liệu khách hàng nào bị lộ và không có dịch vụ nội bộ nào gặp rủi ro vì sự cố này.

Microsoft cũng đã học từ sự cố này và mở rộng dịch vụ bảo mật của GitHub. Dịch vụ này giám sát tất cả các thay đổi mã nguồn mở công khai để phát hiện thông tin xác thực dạng plaintext và những bí mật khác, đặc biệt là các token SAS có thể có các đặc quyền hoặc hết hạn quá mức cho phép.

Sự việc này nhắc nhở tất cả các tổ chức, đặc biệt là trong lĩnh vực AI và bảo mật về tầm quan trọng của việc thực hiện các biện pháp bảo mật mạnh mẽ để bảo vệ dữ liệu nhạy cảm của họ và tránh sự cố đáng tiếc tương tự trong tương lai.

• Tư duy và óc sáng tạo của con người đang bị đe doạ khủng khiếp bởi trí tuệ nhân tạo
• Bài viết chuyên mục Khám phá