ทีมงาน Microsoft AI พลาดเผยข้อมูลกว่า 38 TB จาก Azure Storage

วิธีการแชร์ข้อมูลผ่านคลาวด์ยังคงเป็นปัญหากับผู้ใช้งานจำนวนมาก ไม่เว้นแม้แต่ทีมงานในหน่วย AI Research เสียเองที่ดูแลการแชร์ข้อมูลของตนได้ไม่ดีพอ จึงมีผู้เชี่ยวชาญค้นพบว่า Azure Blob Storage ของพวกเขายังเผยถึงข้อมูลส่วนอื่นที่มากกว่าแค่การแบ่งปันข้อมูลโมเดล AI 

ผู้เชี่ยวชาญจาก Wiz พบว่าทีมวิจัย AI ของ Microsoft ได้ใช้ฟีเจอร์ที่เรียกว่า Shared Access Signature(SAS) Token ซึ่งอนุญาตให้ควบคุมไฟล์ที่ถูกแชร์ได้อย่างสมบูรณ์ โดยผู้เชี่ยวชาญแนะนำว่าวิธีการนี้ช่วยให้การแบ่งปันข้อมูลใน Storage ทำได้ง่ายแต่ต้องควบคุมให้ดี ว่าเข้าถึงอะไรได้บ้าง และควรกำหนดอายุของ Token ด้วย ซึ่งกลไกของ Azure Portal เองก็ไม่ได้อำนวยความสะดวกนักในการช่วยติดตาม Token เหล่านี้ โดย Token สามารถถูกกำหนดให้ใช้งานได้ตลอดไปอีกด้วย ทำให้ควรหลีกเลี่ยงการแชร์ข้อมูลแบบ SAS Token กรณีที่ต้องเปิดสู่ภายนอก

ข้อมูลที่ผู้เชี่ยวชาญพบมีขนาดกว่า 38 TB ประกอบไปด้วยข้อมูลสำรองของพนักงาน Microsoft เช่น รหัสผ่านไปยังบริการของ Microsoft, Secret Key และข้อความใน Teams ของพนักงานราว 359 ราย ทั้งนี้ Microsoft ยืนยันว่าเหตุครั้งนี้ไม่มีข้อมูลลูกค้ารั่วไหลและไม่กระทบต่อบริการภายใน โดยผู้เชี่ยวชาญรายงาน Microsoft ไปเมื่อ 22 มิถุนายน หลังจากนั้นทีมงานได้แก้ไขเสร็จสิ้นราววันที่ 24 มิถุนายน

ผู้เชี่ยวชาญเข้าใจดีว่างาน AI จำเป็นต้องมีการแชร์ข้อมูลกับภาคส่วนต่างๆ ในปริมาณมหาศาล เช่น โปรเจ็คโอเพ่นซอร์สต่างๆ อีกทั้งยังต้องแข่งกับเวลา แต่กระนั้นการแบ่งปันข้อมูลก็ควรได้รับการตรวจสอบที่รัดกุมมากกว่านี้

ที่มา : https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/