Wiz ผู้ให้บริการซีเคียวริตี้บนคลาวด์เปิดรายงานการพบช่องโหว่บน GitHub แพลตฟอร์มของไมโครซอฟท์ (Microsoft) โดยระบุว่า พบ URL ที่สร้างโดยพนักงานไมโครซอฟท์เปิดให้ผู้ใช้งานรายอื่นสามารถเข้าไปเปิด – เขียนทับไฟล์ข้อมูลขนาดใหญ่ รวมถึง AI Models ได้
รายงานการพบช่องโหว่ของ Wiz มีขึ้นเมื่อเดือนมิถุนายนที่ผ่านมา โดยสิ่งที่พวกเขาพบจาก URL นั้น ๆ ก็คือ นอกจากอนุญาตให้เข้าถึง AI Model แบบโอเพ่นซอร์สได้แล้ว มันยังสามารถเข้าถึงไฟล์อื่น ๆ ได้ด้วย โดย Wiz ระบุว่า สิ่งที่พบใน URL ดังกล่าวมีทั้งพาสเวิร์ด, Secret Key, เมสเสจที่พนักงานไมโครซอฟท์คุยกันเป็นการภายในจำนวน 30,000 ข้อความบน Microsoft Teams โดยทั้งหมดนี้ Wiz ประเมินว่า เป็นข้อมูลขนาด 38 เทราไบต์เลยทีเดียว
นอกจากนั้น ทาง Wiz ยังเผยว่า สิทธิที่ URL ดังกล่าวมอบให้กับผู้คลิก คือการสามารถเข้าไปเปิด ลบ หรือเขียนทับ (Overwrite) ไฟล์เหล่านั้นได้ และนำไปสู่การตั้งข้อสังเกตว่า อาจผู้ไม่ประสงค์ดีเข้าไปแทรกโค้ดอันตรายลงใน AI Models ก็เป็นได้
ด้านไมโครซอฟท์ได้มีการทำรายงานชี้แจงออกมาอย่างเป็นทางการเมื่อวันที่ 18 กันยายน โดยระบุว่าหลังได้รับแจ้งจาก Wiz เมื่อวันที่ 22 มิถุนายน บริษัทได้ตรวจสอบเหตุการณ์ดังกล่าว และได้เพิกถอน SAS Token ที่อนุญาตให้เข้าถึงข้อมูล – บัญชีในวันที่ 24 มิถุนายน 2023 รวมถึงได้ตรวจสอบเพิ่มเติมว่ามีผลกระทบต่อลูกค้าของบริษัทหรือไม่ ซึ่งไม่พบว่ามีการทำข้อมูลลูกค้าหลุดออกไปแต่อย่างใด และยังไม่พบความเสี่ยงที่ลูกค้าจะต้องดำเนินการใด ๆ เพิ่มเติมเช่นกัน
รายงานจากไมโครซอฟท์ยังระบุด้วยว่า บริษัทจะปรับปรุงมาตรการการตรวจสอบเพื่อป้องกันเหตุการณ์ที่อาจเกิดขึ้นได้ในอนาคต โดยได้ขยายการตรวจจับไปสู่ SAS Token ซึ่งเป็นโทเค็นที่ทำให้เกิดเหตุการณ์ในครั้งนี้ร่วมด้วย นอกจากนั้นยังมีการเน้นย้ำเรื่องการใช้ SAS Token ให้มีประสิทธิภาพสูงสุด เช่น ควรเป็นการเข้าถึงทรัพยากรให้น้อยที่สุด หรือการกำหนดเวลา SAS Token ให้มีอายุไม่นานนัก เช่น 1 ชั่วโมง เพื่อให้ URL นั้น ๆ ไม่สามารถใช้งานได้นานกว่าที่ควรจะเป็นนั่นเอง