Microsoft Copilot onthult duizenden privé GitHub-repositories

 Dit komt door een cachingmechanisme van Bing, Microsofts zoekmachine, dat informatie opslaat van pagina's die later privé zijn gemaakt zo meldt Lasso Research.

Hoe het werkt

• Bing indexeert publieke GitHub-repositories.
• Zelfs als een repository later privé wordt gemaakt, blijft de informatie in Bing's cache bestaan.
• Microsoft Copilot kan deze gecachte informatie ophalen, waardoor privécode en gevoelige gegevens worden blootgesteld.

Omvang van het probleem

• Onderzoekers ontdekten 20.580 getroffen GitHub-repositories.
• 16.290 organisaties werden getroffen, waaronder Microsoft zelf, Google, Intel, Huawei, PayPal, IBM en Tencent.
• Meer dan 300 privé tokens, sleutels en geheimen voor GitHub, Hugging Face, GCP, OpenAI, enz. werden blootgesteld.
• 100+ python en Node.js interne packages die mogelijk kwetsbaar zijn voor dependency confusion werden ontdekt.

Gevolgen

Deze ontdekking brengt aanzienlijke beveiligingsrisico's met zich mee, omdat gevoelige informatie, zoals API-sleutels, tokens en privécode, toegankelijk kan worden voor kwaadwillenden.

Reactie van Microsoft

Microsoft heeft het probleem als "lage ernst" geclassificeerd, maar heeft wel actie ondernomen. De cachelinkfunctie van Bing is uitgeschakeld en de toegang tot het [invalid URL removed]-domein is beperkt. Echter, Copilot heeft nog steeds toegang tot de gecachte data.

Belangrijkste punten

• Gegevens die ooit publiek zijn geweest, kunnen toegankelijk blijven via AI-tools.
• LLM's vormen een nieuw risico voor datalekken.
• Organisaties moeten hun gegevenshygiëne verbeteren en ervoor zorgen dat privé-repositories daadwerkelijk privé zijn.