Разработчики технологий искусственного интеллекта продолжают пренебрегать соображениями кибербезопасности и конфиденциальности данных, утверждают эксперты компании Wiz. Они изучили положение дел в 50 ведущих компаниях в области ИИ по версии Forbes и обнаружили, что 65 % из них публикуют закрытые данные прямо на GitHub.
- Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
- Обзор умных часов HUAWEI WATCH 5: часы юбилейные
- Пять причин полюбить HONOR Pad V9
- Фитнес-браслет HUAWEI Band 10: настоящий металл
- HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
- Пять причин полюбить HONOR X8c
- Пять причин полюбить HONOR Magic7 Pro
- Почему ИИ никак не сесть на безматричную диету
Hollow Knight: Silksong — песнь страданий и радостей. Рецензия
Обзор умных часов HUAWEI WATCH 5: часы юбилейные
Пять причин полюбить HONOR Pad V9
Фитнес-браслет HUAWEI Band 10: настоящий металл
HUAWEI FreeArc: вероятно, самые удобные TWS-наушники
Пять причин полюбить HONOR X8c
Пять причин полюбить HONOR Magic7 Pro
Почему ИИ никак не сесть на безматричную диету
Чтобы обнаружить общедоступные конфиденциальные данные, такие как токены доступа, учётные данные и ключи API, специалистам Wiz пришлось обратиться к источникам, которые большинство исследователей и сканеров едва ли когда-либо обнаружат. Это были, например, удалённые форки, репозитории разработчиков и файлы GIST. Глубокое сканирование, которое позволяет заглянуть дальше обычных поисковых запросов и выйти за рамки «секретов на поверхности», осуществлялось с помощью схемы «глубина, периметр и покрытие». Аспект «периметра», в частности, предполагает анализ репозиториев не только самой крупной организации, но и ресурсов связанных с ней лиц. Традиционные средства поиска таких результатов не дают.
Примечательно, что попытки сообщить компаниям о выявленных утечках зачастую не давали результатов: почти половина уведомлений либо не доходила до них, либо оставалась без ответа за отсутствием официального канала связи для таких целей. Иногда компания просто не отвечала и не решала проблему. Эксперты же рекомендуют уделять первоочередное внимание обнаружению конфиденциальной информации в массивах открытых данных, иметь особый канал для получения таких сигналов, а также привлекать поставщиков и разработчиков открытого ПО. Надлежащий протокол раскрытия информации, подчёркивают специалисты, может дать компании преимущество в выявлении уязвимостей и утечек.
