Hugging Face, una delle principali piattaforme AI e machine learning, ha subito un’intrusione non autorizzata che ha esposto i segreti della sua piattaforma Spaces. Questo incidente ha sollevato preoccupazioni sulla sicurezza delle informazioni sensibili e sul potenziale impatto sugli utenti.
Rilevato accesso non autorizzato
La scorsa settimana, il team di sicurezza di Hugging Face ha rilevato un accesso non autorizzato alla loro piattaforma Spaces. L’intrusione ha specificamente mirato alle secrets di Spaces, che sono fondamentali per il funzionamento sicuro delle varie applicazioni e servizi ospitati sulla piattaforma. La società sospetta che alcune di queste secrets possano essere state accessibili senza autorizzazione.
Misure adottate da Hugging Face
Hugging Face ha intrapreso azioni immediate per mitigare i potenziali danni derivanti dalla violazione. La società ha revocato diversi token Hugging Face (HF) nelle secrets compromesse come primo passo. Gli utenti interessati sono stati informati via email e sono stati invitati a rinnovare qualsiasi chiave o token. Inoltre, Hugging Face consiglia di passare ai token di accesso a grana fine, ora il valore predefinito per una maggiore sicurezza.
Miglioramenti della sicurezza
Hugging Face sta collaborando con specialisti forensi di sicurezza informatica esterni per indagare a fondo sull’incidente e rivedere le sue politiche e procedure di sicurezza. Negli ultimi giorni, la società ha implementato diverse significative misure di sicurezza nell’infrastruttura Spaces:
- Eliminazione dei token Org: I token Org sono stati completamente rimossi, aumentando la tracciabilità e le capacità di audit.
- Servizio di gestione delle chiavi (KMS): È stato implementato un KMS per gestire in modo sicuro le secrets di Spaces.
- Rilevamento delle perdite di token: La capacità del sistema di identificare e invalidare proattivamente i token trapelati è stata rafforzata ed estesa.
- Miglioramenti generali della sicurezza: Le misure di sicurezza generali sulla piattaforma sono state migliorate.
Hugging Face prevede di deprecare i token “classici” di lettura e scrittura a favore dei token di accesso a grana fine una volta che raggiungeranno la parità delle funzionalità.
L’incidente è stato segnalato alle autorità di polizia e alle autorità di protezione dei dati. Hugging Face si impegna a utilizzare questo incidente per rafforzare la sicurezza dell’intera infrastruttura.
La recente violazione di Hugging Face sottolinea l’importanza di misure di sicurezza informatica robuste per proteggere le informazioni sensibili. Mentre la società lavora per migliorare la sua infrastruttura di sicurezza, gli utenti sono invitati a rimanere vigili e a seguire le raccomandazioni per proteggere i propri dati.
Raccomandazioni per gli utenti
- Aggiorna le tue chiavi e token: Se sei un utente di Hugging Face Spaces, assicurati di aggiornare le tue chiavi e token il prima possibile.
- Utilizza token di accesso a grana fine: Passa ai token di accesso a grana fine per una maggiore sicurezza.
- Segui le best practice di sicurezza: Assicurati di seguire le best practice di sicurezza informatica, come l’utilizzo di password uniche e la verifica della sicurezza delle tue applicazioni.
- Monitora le tue risorse: Monitora regolarmente le tue risorse per rilevare qualsiasi attività sospetta.
