งานวิจัยใหม่จาก บริษัท รักษาความปลอดภัยข้อมูล Upguard แสดงให้เห็นว่าฐานข้อมูลขนาดใหญ่ของรัฐบาล AI ของรัฐบาลสหรัฐฯ AI ได้รับการเปิดเผยบนอินเทอร์เน็ตจนถึงสิ้นเดือนที่แล้ว ในโพสต์ในบล็อก Upguard หยุดวิธีการveritone aiเปิดเผยข้อมูลภายในและลูกค้า 550GB รวมถึงสื่อเสียงวิดีโอและไบโอเมตริกซ์, พนักงาน PII, ภาพวิดีโอกล้องตำรวจ, คำขอ FOIA และเอกสารที่เกี่ยวข้อง, ข้อมูลประจำตัวของพนักงาน, บันทึกระบบพร้อมโทเค็นการอนุญาตและอื่น ๆ
ชุดข้อมูลส่วนกลางที่เปิดเผยนั้นมีข้อมูลที่ละเอียดอ่อนเกี่ยวกับทรัพยากรและผู้ใช้ Veritone รวมถึงชื่อเต็มของพนักงานชื่อผู้ใช้และที่อยู่อีเมล แต่การเปิดเผยข้อมูลบุคลากรของรัฐเป็นเรื่องที่น่ากังวลเป็นพิเศษ “ ข้อมูลประจำตัวภายในยังปรากฏในบันทึกที่เปิดเผยเช่นโทเค็นแอปพลิเคชันและในบางกรณีข้อความธรรมดารหัสผ่าน- การใช้ข้อมูลประจำตัวเหล่านี้โดยไม่ได้รับอนุญาตจะอนุญาตให้นักแสดงภัยคุกคามไม่ว่าจะอยู่ในระดับใดของการเข้าถึงบัญชีที่จัดขึ้นซึ่งอาจเปิดเผยข้อมูลที่ละเอียดอ่อนเพิ่มเติมแก่บุคคลที่สามที่เป็นอันตราย”
อย่างน้อยบางส่วนของข้อมูลส่วนบุคคลที่เปิดเผยถูกใช้เพื่อฝึกอบรมระบบ AIซึ่งมีผู้สังเกตการณ์บางคนถามว่าอัลกอริธึมการเรียนรู้ของเครื่องจักรการโน้มน้าวความปลอดภัยของพวกเขานั้นจริง ๆ แล้วการสร้างแม่ของข้อมูลที่มีช่องโหว่ honeypots หรือไม่
“ สิ่งที่เราคุ้นเคยกับการเรียก 'ปัญญาประดิษฐ์' ขึ้นอยู่กับชุดข้อมูลขนาดมหึมาที่เชื่อมต่อกับอัลกอริทึมที่ซับซ้อนและการติดแท็กข้อมูลโดยละเอียด” Upguard กล่าว “ เนื่องจากเทคโนโลยี AI มักต้องการฐานข้อมูลขนาดใหญ่ที่เต็มไปด้วยข้อมูลใดก็ตามที่พวกเขาวิเคราะห์ทั้งความน่าจะเป็นและผลกระทบของการเปิดรับข้อมูลเพิ่มขึ้นอย่างรวดเร็ว” มันตั้งข้อสังเกตว่า“ ส่วนสำคัญของบริการ Veritone จัดหาให้กับรัฐบาลและหน่วยงานตำรวจเกี่ยวข้องกับโดยอัตโนมัติการทำซ้ำข้อมูลที่ละเอียดอ่อนจากเอกสารการวิเคราะห์ข้อมูลการจดจำใบหน้า (เรียกว่าการระบุผู้ต้องสงสัย) และการประมวลผลข้อมูลการเฝ้าระวังเสียงและวิดีโอเพื่อค้นหาข้อมูลเชิงลึกคำหลักและประเภทของภาพ” นอกจากนี้ยังชี้ให้เห็นว่า Veritone ให้บริการ AI สำหรับอุตสาหกรรมมากมายรวมถึงกฎหมายพลังงานและความบันเทิง - หมายถึงศักยภาพสำหรับการละเมิดข้อมูลอยู่ทุกที่
Upguard ค้นพบเซิร์ฟเวอร์ Elasticsearch ที่เปิดเผยครั้งแรกของ Veritone โฮสต์บนไฟล์MicrosoftAzure Government Cloud เมื่อวันที่ 23 มีนาคมมีเอกสาร 464 ล้านเอกสาร ในวันถัดไปเซิร์ฟเวอร์ที่สองถูกค้นพบซึ่งมีเอกสาร 1.2 พันล้านฉบับ ตามบล็อก“ เซิร์ฟเวอร์เหล่านี้ไม่ต้องการหรือขอข้อมูลรับรองใด ๆ แต่ให้การเข้าถึงทุกคนบนอินเทอร์เน็ตโดยไม่ระบุชื่อ”
หลังจากได้รับการแจ้งให้ทราบถึงการละเมิด Veritone ได้รักษาความปลอดภัยให้กับเซิร์ฟเวอร์ยืดหยุ่นในวันที่ 30 มีนาคมข้อมูลจะไม่เปิดเผยต่อสาธารณะอีกต่อไป
ในกรณีนี้ความผิดไม่ได้อยู่กับ Elasticsearch ซอฟต์แวร์ซึ่งเป็นเอ็นจิ้นการค้นหาโอเพนซอร์สและการวิเคราะห์ที่ออกแบบมาเพื่อค้นหาชุดข้อมูลขนาดใหญ่อย่างรวดเร็วสามารถกำหนดค่าให้ต้องมีการตรวจสอบความถูกต้อง อย่างไรก็ตามเซิร์ฟเวอร์ของ Veritone ไม่ได้รับการกำหนดค่าเช่นนี้ - การกำกับดูแลที่ตัดตอนมาตรการรักษาความปลอดภัยอื่น ๆ และทำให้ข้อมูลของรัฐบาลเปิดเผย Elasticsearch มีความโปร่งใสเกี่ยวกับความจำเป็นในการกำหนดค่าซอฟต์แวร์สำหรับการตรวจสอบสิทธิ์ บล็อกจากปี 2020 สรุปขั้นตอนง่าย ๆ ที่ผู้ใช้สามารถทำได้รักษาความปลอดภัยข้อมูลของพวกเขาจากการละเมิด
ในสัมภาษณ์กับ Axiosรองประธานฝ่ายวิจัยไซเบอร์ Greg Pollock กล่าวว่า Microsoft น่าจะปิดเบ็ดด้วย “ Microsoft ให้บริการคลาวด์ของรัฐบาลเป็นบริการพวกเขาอาจไม่ได้มีส่วนร่วมในการบริหารฐานข้อมูลนี้” พอลลอคกล่าว
หากความรับผิดชอบอยู่ที่ Veritone ในความล้มเหลวในการกำหนดค่าเซิร์ฟเวอร์ Elasticsearch อย่างถูกต้อง - เป็นการประเมินของ Upguard อย่างชัดเจนในการระบุว่า“ งานการดำเนินงานเช่นการหมุนเซิร์ฟเวอร์ยืดหยุ่นควรมีการควบคุมเพื่อให้แน่ใจว่าเซิร์ฟเวอร์ไม่สามารถเข้าถึงได้สาธารณะ”ข้อมูลการละเมิด- ถึงกระนั้นเนื่องจากปริมาณและความไวของข้อมูลของ Veritone การละเมิดอาจมีผลกระทบอย่างมีนัยสำคัญสำหรับวิธีการรวบรวมฐานข้อมูลการฝึกอบรม AI จัดเก็บและปลอดภัย
หัวข้อบทความ
การจัดการการเข้าถึง-ไบโอเมตริกซ์-ความปลอดภัยทางไซเบอร์-ความเป็นส่วนตัวของข้อมูล-รัฐบาลสหรัฐฯ-veritone
