Кажуть, що випадково. Та за невміння деруть реміння.
У понеділок представники корпорації Microsoft заявили, що виправили кричущу помилку, наслідком якої став витік 38 терабайтів приватної інформації. Витік виявили фахівці компанії з кібербезпеки Wiz у репозиторії ШI вебсервісу GitHub; його користувачам надійшло помилково налаштоване посилання з доступом до хмарного сховища на платформі навчання ШІ.
Користувачі GitHub отримали інструкції щодо завантаження моделей ШІ з URL-адреси хмарного сховища. Обліковий запис сховища не був відкритий безпосередньо, але розробники Microsoft ШI додали до URL дозвільний токен підпису загального доступу SAS; це механізм, що використовується у хмарній платформі Microsoft Azure для створення розділених посилань. Тож помилки в налаштуванні надали ще й повні дозволи на керування файлами, і користувачі могли не лише переглядати їх, а й видаляти і перезаписувати.
Серед розголошених даних були особисті резервні копії дисків двох робочих станцій колишніх співробітників Microsoft, що містили паролі до сервісів компанії, секретні ключі та понад 30 000 внутрішніх повідомлень Microsoft Teams від 360 працівників. У Wiz цей витік виявили ще у червні 2023 року і негайно поділилися своїм відкриттям з корпорацією. Microsoft оперативно позбулася злитих даних, запевнивши, що її розслідування не виявило доказів несанкціонованого доступу до даних клієнтів і «жодних інших внутрішніх служб». Утім, Амі Люттвак, технічний директор і співзасновник Wiz, стверджує, що наслідки інциденту «могли би бути серйознішими».
Для технологічних компаній потенціал ШІ є величезним. Однак ті обсяги даних, з якими працюють інженери та науковці, потребують додаткових перевірок і заходів безпеки. Оскільки багатьом командам розробників доводиться маніпулювати величезними обсягами даних, ділитися ними з колегами або співпрацювати у публічних проєктах із відкритим вихідним кодом, такі випадки, як із Microsoft, дедалі важче відстежувати, і важче їх уникати.
Амі Люттвак, технічний директор Wiz.
Робота зі ШІ потребує надійних заходів безпеки не лише для організацій, але й для приватних користувачів. Під час використання чат-ботів ШІ, як-от ChatGPT – у жодному разі не слід передавати персональні дані, оприлюднювати паролі та взагалі будь-яку важливу інформацію. В Інтернеті все лишає цифровий слід, і ми ніколи не знаємо напевне, хто по ньому піде.
