2min Security

Microsoft klaagt onbekende groep aan voor illegale toegang tot servers

Microsoft klaagt onbekende groep aan voor illegale toegang tot servers

Microsoft heeft een onbekende groep aangeklaagd die naar verluidt tools heeft ontwikkeld om de veiligheidsmechanismen van de Azure OpenAI Service te omzeilen. Deze service ondersteunt onder andere de AI-tool ChatGPT.

In december 2024 diende de techgigant een klacht in bij de Amerikaanse rechtbank voor het Eastern District of Virginia tegen tien anonieme verdachten. Microsoft beschuldigt hen van het schenden van de Computer Fraud and Abuse Act, de Digital Millennium Copyright Act en federale wetgeving tegen afpersing.

Illegale toegang

Volgens Microsoft hebben de verdachten de servers van het bedrijf illegaal benaderd om ‘offensieve’, ‘schadelijke en onwettige inhoud’ te genereren. Hoewel Microsoft geen specifieke details heeft gedeeld over de aard van deze inhoud, heeft de ernst van de zaak geleid tot snelle acties. Zo werd een GitHub-repository offline gehaald en mocht Microsoft, volgens een blogpost, een website in verband met de operatie in beslag nemen.

Misbruik van API-sleutels

In de klacht vermeldt Microsoft dat het in juli 2024 ontdekte dat gebruikers misbruik maakten van API-sleutels van de Azure OpenAI Service. Deze sleutels, bedoeld voor authenticatie, werden gestolen van legitieme klanten. Een intern onderzoek bracht een patroon van systematische diefstal van API-sleutels aan het licht, uitgevoerd door de verdachten.

“De precieze wijze waarop de verdachten alle gebruikte API-sleutels hebben verkregen, is onbekend, maar het lijkt erop dat zij een patroon van systematische diefstal hebben gevolgd waarmee zij sleutels van meerdere Microsoft-klanten konden bemachtigen en daarmee illegale toegang tot servers mogelijk maken”, zo luidt de klacht.

Ontwikkeling van hack-tools

De verdachten zouden met het uiteindelijke doel om een ‘hacking-as-a-service’-product te lanceren, een tool genaamd ‘de3u’ hebben gecreëerd. Deze client-side tool werd gebruikt om API-sleutels te stelen en te communiceren met Microsoft-servers. Daarnaast werkten de verdachten aan software om de ingebouwde contentfilters van Azure OpenAI Services te omzeilen. Hierdoor kon bijvoorbeeld DALL-E beelden genereren die normaal door OpenAI zouden worden geweigerd.

Microsoft’s stappen tegen deze praktijken benadrukken het belang van beveiliging en ethische normen binnen AI-technologie.