Segundo especialistas da Wiz, os desenvolvedores de IA continuam negligenciando as preocupações com a segurança cibernética e a privacidade de dados. Eles analisaram a situação das 50 principais empresas de IA da Forbes e descobriram que 65% delas publicam dados proprietários diretamente no GitHub.
Fonte da imagem: wiz.io
Para descobrir dados sensíveis disponíveis publicamente, como tokens de acesso, credenciais e chaves de API, os especialistas da Wiz tiveram que recorrer a fontes que a maioria dos pesquisadores e scanners provavelmente jamais encontraria. Isso incluiu, por exemplo, forks remotos, repositórios de desenvolvedores e arquivos GIST. A varredura profunda, que permite uma análise mais detalhada além de simples consultas de busca e dos “segredos superficiais”, foi realizada usando uma abordagem de “profundidade, perímetro e cobertura”. A abordagem de “perímetro”, em particular, envolve a análise dos repositórios não apenas da maior organização, mas também dos indivíduos associados. As ferramentas de busca tradicionais não produzem tais resultados.
Notavelmente, as tentativas de notificar as empresas sobre as violações descobertas frequentemente não deram resultado: quase metade das notificações não chegou até elas ou não foi respondida devido à falta de um canal de comunicação oficial para tais fins. Às vezes, a empresa simplesmente não respondia ou não resolvia o problema. Especialistas recomendam priorizar a detecção de informações sensíveis em conjuntos de dados abertos, estabelecer um canal dedicado para receber esses sinais e engajar fornecedores e desenvolvedores de código aberto. Um protocolo adequado de divulgação de informações, enfatizam os especialistas, pode dar à empresa uma vantagem na identificação de vulnerabilidades e vazamentos.