Hugging Face: rubati token di autenticazione da Spaces

La piattaforma di intelligenza artificiale Hugging Face afferma che la sua piattaforma Spaces è stata violata. Ciò ha consentito agli hacker di accedere ai segreti di autenticazione dei suoi membri. Hugging Face Spaces è un repository di app AI create e inviate dagli utenti della community, che consente ad altri membri di dimostrarle. Come dichiarato Hugging Face in un post sul blog: “All'inizio di questa settimana il nostro team ha rilevato un accesso non autorizzato alla nostra piattaforma Spaces, specificamente correlato ai segreti di Spaces. Di conseguenza, abbiamo il sospetto che sia stato possibile accedere a un sottoinsieme dei segreti di Spaces senza autorizzazione”.

Hugging Face afferma di aver già revocato i token di autenticazione nei segreti compromessi e di aver avvisato le persone interessate tramite e-mail. Tuttavia, raccomandano a tutti gli utenti di Spaces di aggiornare i propri token e di passare ai fine-grained token. Quest’ultimi consentono alle organizzazioni di avere un controllo più stretto su chi ha accesso ai loro modelli di intelligenza artificiale.

Hugging Face: migliorata la sicurezza di Spaces

L’azienda sta collaborando con esperti di sicurezza informatica per indagare sulla violazione e segnalare l’incidente alle forze dell’ordine e alle agenzie di protezione dei dati. La piattaforma AI afferma di aver rafforzato la sicurezza a causa dell’incidente. Come riportato sul proprio blog: “Negli ultimi giorni abbiamo apportato altri miglioramenti significativi alla sicurezza dell'infrastruttura di Spaces, inclusa la rimozione completa dei token dell'organizzazione (con conseguente maggiore tracciabilità e capacità di controllo), l'implementazione del servizio di gestione delle chiavi (KMS) per i segreti di Spaces, il rafforzamento e l'espansione della nostra la capacità del sistema di identificare i token trapelati e di invalidarli in modo proattivo e, più in generale, di migliorare la nostra sicurezza su tutta la linea. Prevediamo inoltre di deprecare completamente i token di lettura e scrittura “classici” non appena i fine-grained token raggiungeranno la parità di funzionalità. Continueremo a indagare su ogni possibile incidente correlato”.

Man mano che Hugging Face cresce in popolarità è diventata un bersaglio per gli autori di minacce, che tentano di abusarne per attività dannose. A febbraio, la società di sicurezza informatica JFrog ha rilevato circa 100 casi di modelli AI ML dannosi utilizzati per eseguire codice dannoso sul computer di una vittima. Uno dei modelli ha aperto una shell inversa che consentiva agli hacker di accedere da remoto a dispositivi su cui era in esecuzione il codice. Più recentemente, i ricercatori sulla sicurezza di Wiz hanno scoperto una nuova vulnerabilità. Questa consentiva loro di caricare modelli personalizzati e sfruttare le fughe di contenitori per ottenere accesso multi-tenant ai modelli di altri clienti.