Разработчики технологий искусственного интеллекта продолжают пренебрегать соображениями кибербезопасности и конфиденциальности данных, утверждают эксперты компании Wiz. Они изучили положение дел в 50 ведущих компаниях в области ИИ по версии Forbes и обнаружили, что 65 % из них публикуют закрытые данные прямо на GitHub.
Источник изображения: wiz.io
Чтобы обнаружить общедоступные конфиденциальные данные, такие как токены доступа, учётные данные и ключи API, специалистам Wiz пришлось обратиться к источникам, которые большинство исследователей и сканеров едва ли когда-либо обнаружат. Это были, например, удалённые форки, репозитории разработчиков и файлы GIST. Глубокое сканирование, которое позволяет заглянуть дальше обычных поисковых запросов и выйти за рамки «секретов на поверхности», осуществлялось с помощью схемы «глубина, периметр и покрытие». Аспект «периметра», в частности, предполагает анализ репозиториев не только самой крупной организации, но и ресурсов связанных с ней лиц. Традиционные средства поиска таких результатов не дают.
Примечательно, что попытки сообщить компаниям о выявленных утечках зачастую не давали результатов: почти половина уведомлений либо не доходила до них, либо оставалась без ответа за отсутствием официального канала связи для таких целей. Иногда компания просто не отвечала и не решала проблему. Эксперты же рекомендуют уделять первоочередное внимание обнаружению конфиденциальной информации в массивах открытых данных, иметь особый канал для получения таких сигналов, а также привлекать поставщиков и разработчиков открытого ПО. Надлежащий протокол раскрытия информации, подчёркивают специалисты, может дать компании преимущество в выявлении уязвимостей и утечек.