Datenleck bei Hugging Face: Space Secrets betroffen

Diese Woche entdeckte das Team von Hugging Face einen unbefugten Zugriff auf ihre Spaces-Plattform, speziell auf Spaces Secrets. Es wird vermutet, dass ein Teil dieser Secrets unautorisiert eingesehen wurde. Spaces Secrets sind vertrauliche Informationen, die in der Hugging Face Spaces Plattform gespeichert werden. Diese können API-Schlüssel, Tokens, Zugangsdaten oder andere sensible Daten umfassen, die notwendig sind, um Anwendungen und Dienste innerhalb der Spaces-Plattform sicher zu betreiben und zu integrieren. Sie werden typischerweise verwendet, um den Zugriff auf bestimmte Funktionen oder Daten zu steuern und sicherzustellen, dass nur autorisierte Benutzer und Systeme Zugriff auf diese Ressourcen haben.

Als erste Maßnahme wurden mehrere HF-Tokens, die in diesen Secrets enthalten waren, widerrufen. Betroffene Nutzer wurden per E-Mail informiert. Es wird empfohlen, alle Schlüssel oder Tokens zu erneuern und auf fein granulierte Zugriffstokens umzusteigen, die nun Standard sind.

Hugging Face arbeitet mit externen Cybersicherheits-Experten zusammen, um den Vorfall zu untersuchen und die Sicherheitsrichtlinien zu überprüfen. In den letzten Tagen wurden bedeutende Verbesserungen an der Sicherheit der Spaces-Infrastruktur vorgenommen, darunter die Entfernung von Org-Tokens, die Implementierung eines Key Management Service (KMS) für Spaces Secrets, und die Verstärkung der Fähigkeit des Systems, geleakte Tokens zu identifizieren und ungültig zu machen.

Zusätzlich wurde der Vorfall den Strafverfolgungsbehörden und Datenschutzbehörden gemeldet. Hugging Face entschuldigt sich für die entstandenen Unannehmlichkeiten und nutzt diesen Vorfall, um die Sicherheit der gesamten Infrastruktur zu stärken.

Für Fragen steht das Team unter security@huggingface.co zur Verfügung.

Related Posts

Datenpanne bei Rekrutierungs-App des Europäischen Parlaments

Laut einem Bericht des Europamagazins euractiv.com hat das Europäische Parlament hat am Montag, den 6. Mai, eine interne Mitteilung über eine Datenpanne bei der Anwendung “PEOPLE” versendet, die für die Einstellung nicht-ständiger Mitarbeiter genutzt wird.

Read More

Cloud-Anbieter Snowflake im Fokus des Ticketmaster Datenlecks

In einer Reihe jüngster Cyberangriffe sind sensible Kundendaten von Ticketmaster und der internationalen Bank Santander gestohlen worden. Die Sicherheitsexperten von Hudson Rock vermuten, dass die Datenlecks auf eine Kompromittierung des Cloud-Datenanbieters Snowflake zurückzuführen sind. Snowflake selbst bestreitet jedoch jegliche Sicherheitsmängel auf ihrer Seite, hat aber im Zuge der Ermittlungen eine Anleitung veröffentlicht, mit der die Indicators of Compromise (IoC) festgestellt werden können. Dazu gehören Abfragen zur Identifizierung verdächtiger Aktivitäten und Anweisungen zur Deaktivierung verdächtiger Benutzerkonten. Snowflake empfiehlt zudem, Netzwerkrichtlinien zu implementieren und statische Anmeldeinformationen durch sicherere Methoden wie Key Pair-Authentifizierung oder OAuth zu ersetzen.

Read More

Sicherheitslücke bei Lufthansa: Siri trägt fremde Flugdaten in Kalender ein

Laut einem Bericht der NZZ hat kam es bei der Lufthansa und ihrer Tochtergesellschaft Swiss zu einem ungewollten Datenleck. Apples KI-Assistentin Siri hat aufgrund einer Fehlkonfiguration die Log-in-Daten von Flugbuchungen erfasst und diese Informationen automatisch in die Kalender von Fremden eingetragen. Dieses Problem wurde am 8. April 2024 erkannt und betraf Buchungen, die durch eine bestimmte Sicherheitsschwäche in den Systemen der Airlines zugänglich wurden.

Read More