Масштабний витік даних у Copilot. Бот проіндексував понад 20 000 приватних репозиторіїв GitHub

Фахівці ізраїльської компанії з кібербезпеки Lasso виявили, що вміст їхнього репозиторія на GitHub став доступним у віртуальному помічнику Copilot, оскільки репозиторій з кодом був проіндексований і кешований пошуковою системою Microsoft Bing. Причиною витоку даних стало те, що приватний репозиторій на короткий момент був помилково переведений у статус публічного. Схожа проблема торкнулась тисячі інших IT-компаній і окремих розробників, пише TechCrunch.

«На Copilot, як не дивно, ми знайшли одне з наших власних приватних сховищ. Тепер будь-хто у світі може поставити Copilot правильне запитання та отримати наші дані», — заявив Співзасновник Lasso Офір Дрор.

Зрозумівши, що будь-які дані на GitHub, навіть короткочасно переведені в статус публічних, потенційно можуть бути розкриті за допомогою таких інструментів, як Copilot, спеціалісти Lasso продовжили дослідження. У підсумку вони отримали список з понад 20 000 приватних репозиторіїв, які були загальнодоступними в якийсь момент у 2024 році. Витік даних вплинув на понад 16 000 організацій.

У перелік компаній, які постраждали від зміни конфігурації, увійшли: Amazon Web Services, Google, IBM, PayPal, Tencent і навіть сама Microsoft, яка володіє GitHub. Бот Bing проіндексував конфіденційні архіви GitHub, які містять інтелектуальну власність, конфіденційні корпоративні дані, ключі доступу та токени.

Дрор сказав, що його компанія Lasso звернулась до всіх, хто «серйозно постраждав» від витоку даних, і порадила їм змінити або відкликати будь-які зламані ключі.

Після звернення до Microsoft, компанія-власник GitHub повідомила, що ця проблема класифікована як така, що має «низьку серйозність», і що така модель кешування була «прийнятною». Однак Microsoft більше не включає посилання на кеш Bing у своїх результатах пошуку, починаючи з грудня 2024 року.