Microsoft tužio tri hakera i nekoliko kupaca

Microsoftova Jedinica za digitalne zločine (DCU) pokrenula je ovih dana pravne mere kako bi osigurala bezbednost i integritet svojih AI usluga. Radi se o borbi protiv sajber kriminalaca koji razvijaju alate, posebno dizajnirane za zaobilaženje zaštitnih ograda generativnih AI usluga, za stvaranje uvredljivog i štetnog sadržaja. Pretnja u ovom slučaju dolazi iz inostranstvaa; trojica za sada neimenovanih hakera osumnjičeni su da su razvili sofisticirani softver koji iskorišćava akreditive izloženih korisnika, skinute s javnih veb stranica.

Sudski nalog

Hakeri su, stoji u tužbi koju je podneo Microsoft, nezakonito pristupili nalozima s određenim generativnim AI uslugama i namerno menjali mogućnosti tih usluga. Pristup uslugama hakeri su potom preprodavali, uz detaljna uputstva o tome kako će prilagođene alate koristiti za generisanje štetnog i nedopuštenog sadržaja. Nakon otkrića Microsoft je, kažu u kompaniji, opozvao pristup, uveo protivmere i poboljšao zaštitne mere kako bi u budućnosti dodatno blokirao takve zlonamerne aktivnosti.

Sudski nalog, stoji u zvaničnom dopisu, omogućio je istražiocima da zatvore spornu stranicu, prikupe ključne dokaze o hakerima koji vode ove operacije, pojasne način na koji se te usluge monetizuju i zaplene tehničku infrastrukturu. Osim trojice hakera, Microsoft tuži i sedam navodnih korisnika.

Kompromitovani nalozi

Tri hakera navodno su kompromitovala naloge legitimnih Microsoftovih klijenata i prodavala pristup nalozima putem sada zatvorene stranice na adresi "rentry[.]org/de3u". Usluga, koja je radila od prošlog jula do septembra, kada je Microsoft poduzeo akciju da je ugasi, uključivala je "detaljna uputstva o tome kako koristiti ove prilagođene alate za generisanje štetnog i nedopuštenog sadržaja".

Usluga je sadržala proxy server koji je prenosio saobraćaj između svojih korisnika i servera koji pružaju Microsoftove AI usluge, navodi se u tužbi. Između ostalog, proxy usluga koristila je nedokumentovana Microsoftove mrežne programske interfejse za aplikacije (API) za komunikaciju s Azure računrlima kompanije. Rezultujući zahtevi dizajnirani su tako da oponašaju legitimne zahteve API-ja usluge Azure OpenAPI i koristili su kompromitovane API ključeve za njihovu autentifikaciju.

Loša praksa

Microsoft nije otkrio kako su ugroženi legitimni korisnički nalozi, ali poznato je da hakeri kreiraju alate za pretraživanje skladišta kodova za programere API ključeva, nenamerno uključenih u aplikacije. Microsoft i druge kompanije dugo su savetovali programere da uklone akreditive i druge osetljive podatke iz koda koji objavljuju, ali ta praksa se redovno ignoriše. Postoji i mogućnost da su akreditive ukrali ljudi koji su neovlašćeno pristupili mrežama na kojima su bili uskladišteni.

Microsoft je svakako implementirao sistem zaštite, ali ta ograničenja zasnovana na kodu su poslednjih godina više puta hakovana; ponekada se radilo o benignim operacijama istraživača, ali zabeleženi su i ozbiljni hakerski upadi koji su GAI koristili za izradu pornografskog sadržaja.