Microsoft Azure üzerinde araştırma yapan siber güvenlik uzmanları, Bing’i etkileyen bir açık keşfetti. Bu açık sayesinde hem Bing’in arama sonuçları manipüle edilebiliyor hem de Microsoft kullanıcılarının hesaplarına erişilebiliyor.
OpenAI’a milyonlarca dolarlık yatırım yapan Microsoft, Bing başta olmak üzere pek çok uygulamasına ve yazılımına yapay zekâ desteği getirdiğini açıklamıştı. Bu yazılımlara ek olarak sürekli olarak gelişen ve soru kapasitesi arttırılan Bing’de kritik bir açık tespit edildi.
Bing’in limitlerini zorlamaya çalışan beyaz şapkalı hackerlar, Bing’in arama sonuçları değiştirebilecekleri hatta tüm Microsoft hesaplarının bilgilerine erişebileceklerini hayati öneme sahip bir açığı keşfettiler. Üstelik bu açığıa Microsofft Azure’u kurcalarken yanlışlıkla bile keşfedebilirsiniz.
Dünya üzerindeki tüm kullanıcıların e-postalarını zahmetsizce okuyabilirsiniz
Son yılların öne çıkan siber güvenlik firmalarından birisi olan Wiz’in beyaz şapkalı hackerlarından birisi olan Hillai Ben-Sasson ve ekibi, Microsoft’un Azure sistemlerinde araştırma yaparken “Bing Trivia” adı verilen bir sistemi kontrol edebilecekleri bir ayarı keşfediyor. Bing Trivia’yı aktifleştiren ekip, sistemin Bing’in arama sonuçlarını değiştirmek için kullanılabileceğini belirtiyor. Aslen Bing’de oluşan hataları anında gidermek için oluşturulan bu yazılımı kullanan Ben-Sasson ve ekibi, çok daha ciddi bir açıkla da karşılaştı.
Bing’in gönderdiği verileri inceleyen ekip, garip bir şekilde yeni Bing’in Office 365’in iletişim sistemlerini kullandığını fark etti. Bu sistemi yakından inceleyen araştırmacılar, bu ağı kullanarak istedikleri kişinin bilgisayarından alınacak minik bir veri sayesinde kullanıcının Outlook e-postalarına, takvimine, Teams mesajlarına, OneDrive dosyalarına ve hatta Word dosyalarına bile erişebileceklerini fark etti.
Neyse ki Microsoft açığı anında kapattı
Elde ettikleri bilgileri ve açığın kapatılmasıyla ilgili önerilerini belgeleyen Ben-Sasson ve ekibi, Microsoft’a bir e-posta göndererek durumu açıkladıklarını ve birkaç saat içerisinde açığı giderildiğine dair geri bildirim aldıklarını belirtti. Ayrıca Ben-Sasson da açığın kapatıldığını doğruladı.
Microsoft yetkilileri ekibe 40.000 dolar ödül verirken Ben-Sasson ise bu ödülün yardım kurumlarına bağışlanacağını açıkladı. Pek çok kullanıcının kişisel verilerine tehlikeye atabilecek bu kritik açık, böylelikle kötü niyetli kişiler tarafından keşfedilmeden kapatılmış oldu.
Kaynak:https://www.wiz.io/blog/azure-active-directory-bing-misconfiguration