Microsoft’un yapay zeka araştırma bölümü, son zamanlarda açık kaynak eğitim verilerini içeren bir depoyu yanlışlıkla ifşa etmesiyle gündeme geldi. Bu olay, bulut güvenliği girişimi Wiz’in detaylı bir inceleme ve keşfi sonucunda ortaya çıktı. İncelenen veri deposu GitHub üzerinde bulunuyordu ve araştırmacılar tarafından yayınlanmıştı.
Depo, görüntü tanıma için açık kaynak kodu ve yapay zeka modellerini sağlamayı amaçlıyordu. GitHub deposunun kullanıcılarına, bu modelleri bir Azure Depolama URL’sinden indirmeleri için talimatlar verilmişti. Ancak Wiz, bu URL’nin yanlış yapılandırıldığını keşfetti ve bu hata nedeniyle özel verilerin yanlışlıkla ifşa edildiğini tespit etti.
Bu ifşa edilen veriler, büyük ölçüde hassas bilgiler içeriyordu ve toplamda 38 terabayt büyüklüğünde. İçerik, iki Microsoft çalışanının kişisel bilgisayarlarının yedeklerini içeriyor ve bunların yanı sıra Microsoft hizmetlerinin şifreleri, gizli anahtarlar ve 30.000’den fazla dahili Microsoft Teams mesajı gibi birçok başka hassas kişisel veriyi de içeriyor.
Bu durumun en ciddi yanı, URL’nin yanlışlıkla “tam kontrol” izinlerine izin verecek şekilde yapılandırılmış olması. Bu da, kötü amaçlı kişilerin bu verileri silme, değiştirme veya kötü amaçlı içerik ekleyebilme olanağı sağlıyor.
Wiz, Microsoft ile paylaştığı bulguları 22 Haziran’da iletti ve Microsoft, bu SAS (paylaşılan erişim imzası) belirtecini iki gün sonra 24 Haziran’da iptal etti. Microsoft, potansiyel kurumsal etkiyi araştırmak için çalışmalara başladığını ve 16 Ağustos’ta bu incelemeyi tamamladığını belirtti.
Microsoft’un Güvenlik Yanıt Merkezi, herhangi bir müşteri verisinin ifşa edilmediğini ve bu sorun nedeniyle başka hiçbir dahili hizmetin riske atılmadığını açıkladı.
Bu olay, yapay zeka teknoloji şirketlerinin büyük miktarda veriyi işlerken güvenlik önlemlerine daha fazla dikkat etmeleri gerekliliğini vurguluyor. Yapay zeka çözümleri geliştirirken büyük veri kümeleri üzerinde çalışan geliştirme ekiplerinin, bu verilerin güvenliğini sağlamak ve hassas bilgilerin ifşa edilmesini önlemek için daha fazla çaba göstermesi gerekiyor. Bu tür olayların önlenebilmesi için daha fazla güvenlik kontrolünün ve önleminin alınması gerekiyor.
