Az Asana új MI-funkciója kellemetlen adatbiztonsági hibát okozott

Több héten át Asana-felhasználók hozzáférhettek mások adataihoz egy új MI-funkció hibája miatt. A hiba nem rosszindulatú támadás következménye volt, hanem egy logikai hiba az MCP (Modular Control Platform) szerverben, amelyet május 1-jén vezettek be. Az MCP egy nyílt forráskódú keretrendszer, amely lehetővé teszi MI-asszisztensek számára, hogy integrálódjanak oldalakkal és alkalmazásokkal, valamint új képességeket, például automatikus összegzést vagy természetes nyelvű keresést adjanak a szolgáltatáshoz.

Növekvő kockázatok az MI miatt

Az új MI-eszközök és az LLM-ek (nagy nyelvi modellek) együttműködésére létrehozott MCP-szerverek vonzó célponttá váltak a hackerek számára. A keretrendszer széles körű engedélyeket kér, ami adatszivárgáshoz, tokenlopáshoz, illetve prompt-injekciós támadásokhoz vezethet. Egy blogbejegyzés szerint ezek a szerverek általánosságban növelhetik az adatlopás esélyét.

Körülbelül 1000 felhasználói fiók érintett

A hibát június 4-én fedezték fel. Az érintett időszakban az Asanán MCP-t használó felhasználók képesek voltak más cégek „projektekhez, csapatokhoz, feladatokhoz és egyéb objektumokhoz” tartozó adatokhoz hozzáférni. A cég azonnal leállította a hibás szervert és javította a kódot. Június 16-án minden érintett ügyfelet tájékoztattak, valamint kérdőívet is küldtek annak kiderítésére, pontosan kinek az adatai szivároghattak ki.

Mi a teendő most?

Egyelőre nem tudni, történt-e súlyosabb adatlopás. Az Asana mindenkinek azt javasolja, hogy ellenőrizze a szerverhozzáférési naplókat, és jelezze, ha más vállalatok adatait találja saját MI-eszközei által generált információk között. Június 17-én a szerver visszaállt a rendes működésbe. Az Asanát világszerte több mint 130 000 vállalat használja, köztük olyan óriások, mint az Uber, a Spotify (Spotify), és az Airbnb (Airbnb).

2025, adrienne, mashable.com alapján