Sajber kriminalci zloupotrijebili Microsoft Azure OpenAI za stvaranje štetnog sadržaja

Microsoft je nedavno otkrio ozbiljan sajber napad povezan sa njegovom uslugom Azure OpenAI. Grupa sajber kriminalaca navodno je zaobišla sigurnosne mjere kako bi generisala uvredljiv i štetan sadržaj, što je tehnološkog giganta primoralo na pravne korake.

 

Microsoft podiže tužbu zbog hakerskog napada na Azure OpenAI

 

U decembru 2024. godine, Microsoft je podnio tužbu Okružnom sudu SAD-a za „Istočni okrug Virdžinije“ protiv deset neidentifikovanih pojedinaca. Optuženi, koji su dio inostrane kriminalne grupe, terete se za krađu korisničkih akreditacija i korišćenje prilagođenog softvera za neovlašćeni pristup nalozima Azure OpenAI.

Azure OpenAI je platforma koja omogućava preduzećima integraciju moćnih AI alata poput ChatGPT-a i DALL-E-a u njihove cloud aplikacije. Takođe pokreće GitHub Copilot, AI asistenta za kodiranje koji programerima nudi inteligentne prijedloge koda.

 

Kako su sajber kriminalci hakovali Azure OpenAI

 

Prema Microsoft-u, napadači su došli do korisničkih vjerodajnica skraćivanjem podataka sa javnih web stranica. To im je omogućilo neovlašćeni pristup nalozima Azure OpenAI, gdje su mijenjali funkcionalnosti generativnih AI usluga.

„Ciljali su na identifikaciju i neovlašćen pristup nalozima sa određenim generativnim AI uslugama, namjerno mijenjajući njihove mogućnosti“, saopštio je Microsoft u blog postu 10. januara. Ukradene vjerodajnice korištene su za generisanje štetnog sadržaja, a zatim su prodate drugim zlonamjernim akterima zajedno sa detaljnim uputstvima za korištenje tih AI alata.

 

Štetni sadržaj generisan uz pomoć AI krši Microsoft-ove politike

 

Iako Microsoft nije objavio tačnu prirodu generisanog štetnog sadržaja, potvrđeno je da je isti bio u suprotnosti sa pravilima kompanije.

„Optuženi su svjesno i namjerno pristupali zaštićenim sistemima Azure OpenAI usluge bez odobrenja, uzrokujući time štetu i gubitke“, navedeno je u tužbi.

Tužba optužuje sajber kriminalce za kršenje nekoliko američkih zakona, uključujući:

• Zakon o kompjuterskim prevarama i zloupotrebama (Computer Fraud and Abuse Act)
• Zakon o digitalnom milenijumu (Digital Millennium Copyright Act)
• Federalni zakon o organizovanom kriminalu (racketeering law)

Microsoft traži sudsku zabranu, odštetu i druge pravne mjere.

 

Microsoft preduzima mjere protiv sajber kriminalaca

 

U okviru pravnih koraka, Microsoft je dobio odobrenje suda za zaplijenu web stranice koja je bila ključna za kriminalnu operaciju. Ova mjera ima za cilj:

• Prikupljanje ključnih dokaza o počiniocima.
• Otkrivanje načina na koji je operacija unovčena.
• Ometanje dodatne tehničke infrastrukture povezane sa napadom.

Nakon napada, Microsoft je uveo pojačane sigurnosne mjere kako bi dodatno zaštitio Azure OpenAI uslugu.

 

Šta ovaj slučaj znači za AI i sajber sigurnost?

 

Ovaj slučaj naglašava rastuću povezanost između AI tehnologije i sajber bezbjednosnih rizika. Kako platforme poput Azure OpenAI postaju sve zastupljenije, zaštita generativnih AI usluga od zlonamjernih aktera postaje ključni izazov za tehnološke kompanije.

Pravnim i tehničkim mjerama, Microsoft šalje jasnu poruku: kršenje njegovih AI sistema neće proći nekažnjeno.