ثبت بازخورد

لطفا میزان رضایت خود را از دیجیاتو انتخاب کنید.

واقعا راضی‌ام
اصلا راضی نیستم
چطور میتوانیم تجربه بهتری برای شما بسازیم؟

نظر شما با موفقیت ثبت شد.

از اینکه ما را در توسعه بهتر و هدفمند‌تر دیجیاتو همراهی می‌کنید
از شما سپاسگزاریم.

امنیت

مایکروسافت به‌اشتباه دسترسی به ده‌ها ترابایت اطلاعات محرمانه خود را ممکن کرده بود

اشتباه مهلک محققان مایکروسافت بستر دسترسی به ده‌ها ترابایت اطلاعات محرمانه را فراهم کرده بود.

ایمان صاحبی
نوشته شده توسط ایمان صاحبی | ۲۷ شهریور ۱۴۰۲ | ۱۸:۰۰

محققان امنیتی مایکروسافت ظاهراً به‌صورت اتفاقی ده‌ها ترابایت از داده‌های حساس خود ازجمله کلیدهای خصوصی و رمزهای عبور سازمانشان را روی گیت‌هاب افشا کرده بودند.

در تحقیقی که استارتاپ امنیت فضای ابری Wiz با رسانه تک‌کرانچ به اشتراک گذاشته است، این استارتاپ متوجه شده بود که یکی از مخازن متعلق به بخش تحقیقات هوش مصنوعی مایکروسافت در گیت‌هاب، به‌اشتباه حجم زیادی از داده‌های سازمانی این شرکت را لو داده.

در این حادثه، از مخاطبان این مخزن گیت‌هاب که محلی برای ارائه کدهای متن‌باز و مدل‌های هوش مصنوعی برای تشخیص تصویر بود، خواسته شده بود تا مدل‌ها را از یک URL در سرویس آژور دانلود کنند. اما Wiz می‌گوید این URL به‌اشتباه به‌گونه‌ای پیکربندی شده بود که دسترسی به تمام فضای ذخیره‌سازی سرور ازجمله اطلاعات خصوصی را فراهم می‌کرد.

38 ترابایت اطلاعات محرمانه مایکروسافت در معرض خطر بود

این داده‌ها شامل 38 ترابایت اطلاعات حساس ازجمله بکاپ‌های کامپیوترهای شخصی دو کارمند مایکروسافت می‌شد. همچنین داده‌های دیگری نظیر رمزعبور سرویس‌های مایکروسافت، کلیدهای محرمانه و بیش از 30 هزار پیام درون‌سازمانی در مایکروسافت تیمز نیز در بین آن‌ها وجود داشت.

به گفته Wiz، این URL که از سال 2020 این داده‌ها را افشا می‌کرد، به‌اشتباه طوری تنظیم شده بود که به‌جای دسترسی «فقط خواندنی»، دسترسی «کنترل کامل» را فراهم می‌کرد؛ یعنی هرکسی که می‌دانست باید چه کار کند، می‌توانست این محتواها را حذف و جایگزین کند یا محتواهای مخرب به آن‌ها اضافه نماید.

این استارتاپ می‌گوید یافته‌های خود را در تاریخ 1 تیرماه با مایکروسافت به اشتراک گذاشت و آن‌ها دو روز بعد این دسترسی‌ها را مسدود کردند. غول سازنده ویندوز در ادامه اعلام کرد که در تاریخ 25 مردادماه تحقیقات خود را به‌منظور ارزیابی ریسک‌های احتمالی به پایان رسانده است.

مرکز واکنش امنیتی مایکروسافت پیش از انتشار گزارش تک‌کرانچ، در پستی که با این رسانه به اشتراک گذاشته شده، اعلام کرد که هیچ اطلاعاتی از مشتریان افشا نشده و هیچ سرویس درون‌سازمانی دیگری در معرض ریسک قرار نگرفته است.

مایکروسافت می‌گوید به‌دنبال این رخداد، دقت خود را بیشتر خواهد کرد تا بر تمام تغییرات کدهای متن‌باز عمومی از طرف سازمان خود نظارت کند و جلوی انتشار توکن‌هایی را که دارای دسترسی‌های نامتعارف هستند، بگیرد.

ایمان صاحبی
دبیر بخش تکنولوژی

فناوری مخصوصاً بخشی که روی لبه حرکت می‌کنه، جذاب‌ترین قسمت این دنیا برام محسوب می‌شه، اما همه حوزه‌ها حتی نقاط تلاقی علم و فناوری می‌تونن خیلی جذاب باشن. در کنار این‌ها دنیای فیلم، سریال و بازی‌های ویدیویی رو هم دوست دارم.

دیدگاه‌ها و نظرات خود را بنویسید
مطالب پیشنهادی