Diese Woche entdeckte das Team von Hugging Face einen unbefugten Zugriff auf ihre Spaces-Plattform, speziell auf Spaces Secrets. Es wird vermutet, dass ein Teil dieser Secrets unautorisiert eingesehen wurde. Spaces Secrets sind vertrauliche Informationen, die in der Hugging Face Spaces Plattform gespeichert werden. Diese können API-Schlüssel, Tokens, Zugangsdaten oder andere sensible Daten umfassen, die notwendig sind, um Anwendungen und Dienste innerhalb der Spaces-Plattform sicher zu betreiben und zu integrieren. Sie werden typischerweise verwendet, um den Zugriff auf bestimmte Funktionen oder Daten zu steuern und sicherzustellen, dass nur autorisierte Benutzer und Systeme Zugriff auf diese Ressourcen haben.
Als erste Maßnahme wurden mehrere HF-Tokens, die in diesen Secrets enthalten waren, widerrufen. Betroffene Nutzer wurden per E-Mail informiert. Es wird empfohlen, alle Schlüssel oder Tokens zu erneuern und auf fein granulierte Zugriffstokens umzusteigen, die nun Standard sind.
Hugging Face arbeitet mit externen Cybersicherheits-Experten zusammen, um den Vorfall zu untersuchen und die Sicherheitsrichtlinien zu überprüfen. In den letzten Tagen wurden bedeutende Verbesserungen an der Sicherheit der Spaces-Infrastruktur vorgenommen, darunter die Entfernung von Org-Tokens, die Implementierung eines Key Management Service (KMS) für Spaces Secrets, und die Verstärkung der Fähigkeit des Systems, geleakte Tokens zu identifizieren und ungültig zu machen.
Zusätzlich wurde der Vorfall den Strafverfolgungsbehörden und Datenschutzbehörden gemeldet. Hugging Face entschuldigt sich für die entstandenen Unannehmlichkeiten und nutzt diesen Vorfall, um die Sicherheit der gesamten Infrastruktur zu stärken.
Für Fragen steht das Team unter security@huggingface.co zur Verfügung.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: