HomeDigitalไมโครซอฟท์เผยไม่พบข้อมูลลูกค้ารั่ว หลังมี URL เปิดให้เข้าถึงข้อมูลขนาด 38 เทราไบต์บน GitHub

ไมโครซอฟท์เผยไม่พบข้อมูลลูกค้ารั่ว หลังมี URL เปิดให้เข้าถึงข้อมูลขนาด 38 เทราไบต์บน GitHub

แชร์ :

microsoft

Wiz ผู้ให้บริการซีเคียวริตี้บนคลาวด์เปิดรายงานการพบช่องโหว่บน GitHub แพลตฟอร์มของไมโครซอฟท์ (Microsoft) โดยระบุว่า พบ URL ที่สร้างโดยพนักงานไมโครซอฟท์เปิดให้ผู้ใช้งานรายอื่นสามารถเข้าไปเปิด – เขียนทับไฟล์ข้อมูลขนาดใหญ่ รวมถึง AI Models ได้

ADFEST 2024

Santos Or Jaune

รายงานการพบช่องโหว่ของ Wiz มีขึ้นเมื่อเดือนมิถุนายนที่ผ่านมา โดยสิ่งที่พวกเขาพบจาก URL นั้น ๆ ก็คือ นอกจากอนุญาตให้เข้าถึง AI Model แบบโอเพ่นซอร์สได้แล้ว มันยังสามารถเข้าถึงไฟล์อื่น ๆ ได้ด้วย โดย Wiz ระบุว่า สิ่งที่พบใน URL ดังกล่าวมีทั้งพาสเวิร์ด, Secret Key, เมสเสจที่พนักงานไมโครซอฟท์คุยกันเป็นการภายในจำนวน 30,000 ข้อความบน Microsoft Teams โดยทั้งหมดนี้ Wiz ประเมินว่า เป็นข้อมูลขนาด 38 เทราไบต์เลยทีเดียว

นอกจากนั้น ทาง Wiz ยังเผยว่า สิทธิที่ URL ดังกล่าวมอบให้กับผู้คลิก คือการสามารถเข้าไปเปิด ลบ หรือเขียนทับ (Overwrite) ไฟล์เหล่านั้นได้ และนำไปสู่การตั้งข้อสังเกตว่า อาจผู้ไม่ประสงค์ดีเข้าไปแทรกโค้ดอันตรายลงใน AI Models ก็เป็นได้

ด้านไมโครซอฟท์ได้มีการทำรายงานชี้แจงออกมาอย่างเป็นทางการเมื่อวันที่ 18 กันยายน โดยระบุว่าหลังได้รับแจ้งจาก Wiz เมื่อวันที่ 22 มิถุนายน บริษัทได้ตรวจสอบเหตุการณ์ดังกล่าว และได้เพิกถอน SAS Token ที่อนุญาตให้เข้าถึงข้อมูล – บัญชีในวันที่ 24 มิถุนายน 2023 รวมถึงได้ตรวจสอบเพิ่มเติมว่ามีผลกระทบต่อลูกค้าของบริษัทหรือไม่ ซึ่งไม่พบว่ามีการทำข้อมูลลูกค้าหลุดออกไปแต่อย่างใด และยังไม่พบความเสี่ยงที่ลูกค้าจะต้องดำเนินการใด ๆ เพิ่มเติมเช่นกัน

รายงานจากไมโครซอฟท์ยังระบุด้วยว่า บริษัทจะปรับปรุงมาตรการการตรวจสอบเพื่อป้องกันเหตุการณ์ที่อาจเกิดขึ้นได้ในอนาคต โดยได้ขยายการตรวจจับไปสู่ SAS Token ซึ่งเป็นโทเค็นที่ทำให้เกิดเหตุการณ์ในครั้งนี้ร่วมด้วย นอกจากนั้นยังมีการเน้นย้ำเรื่องการใช้ SAS Token ให้มีประสิทธิภาพสูงสุด เช่น ควรเป็นการเข้าถึงทรัพยากรให้น้อยที่สุด หรือการกำหนดเวลา SAS Token ให้มีอายุไม่นานนัก เช่น 1 ชั่วโมง เพื่อให้ URL นั้น ๆ ไม่สามารถใช้งานได้นานกว่าที่ควรจะเป็นนั่นเอง

Source

Source


แชร์ :

You may also like