Divulgación del incidente de filtración de Secrets en la plataforma Hugging Face Spaces
(huggingface.co)- A inicios de esta semana se detectó un acceso no autorizado relacionado con secrets en la plataforma Spaces, y existe la posibilidad de que algunos secrets hayan sido accesibles desde el exterior
- Como respuesta inicial, se revocaron varios tokens de HF incluidos en los secrets, y se envió una notificación por correo electrónico a los usuarios afectados
- Se recomienda a los usuarios volver a emitir las keys y tokens relacionados, y migrar a los fine-grained access tokens, que ahora son el valor predeterminado
- Hugging Face está investigando junto con expertos externos en forense de ciberseguridad, y también está revisando sus políticas y procedimientos de seguridad
- En la infraestructura de Spaces se aplicaron la eliminación de org tokens, la introducción de KMS y el refuerzo de la detección e invalidación de tokens filtrados, y el incidente también fue reportado a las autoridades correspondientes
Acceso no autorizado a los secrets de Spaces y acciones para los usuarios
- Hugging Face detectó un acceso no autorizado relacionado con los Spaces secrets en la plataforma Spaces
- Existe la posibilidad de que algunos Spaces secrets hayan sido accedidos sin autorización
- Durante el proceso inicial de mitigación, se revocaron varios HF tokens incluidos en los secrets
- Los usuarios cuyos tokens fueron revocados ya recibieron una notificación por correo electrónico
- Se recomienda a los usuarios emitir nuevamente sus keys o tokens
- Para los HF tokens, se recomienda migrar a los fine-grained access tokens, que ahora son el nuevo valor predeterminado
Refuerzo de la seguridad de la infraestructura de Spaces y respuesta posterior
- Hugging Face está investigando el incidente junto con expertos externos en forense de ciberseguridad y revisando sus políticas y procedimientos de seguridad
- Durante los últimos días, se reforzó la seguridad de la infraestructura de Spaces
- Se eliminaron por completo los org tokens para mejorar la trazabilidad y las capacidades de auditoría
- Se introdujo un servicio de administración de claves (KMS) para los Spaces secrets
- Se reforzó y amplió la capacidad del sistema para identificar tokens filtrados e invalidarlos de forma preventiva
- Se mejoró la seguridad en general
- Cuando los fine-grained access tokens alcancen paridad funcional, planean retirar por completo en un futuro cercano los tokens clásicos de lectura/escritura
- La investigación sobre posibles incidentes relacionados continúa
- Hugging Face también reportó este incidente a las autoridades de protección de datos y a las fuerzas del orden
- Las consultas se reciben en security@huggingface.co
1 comentarios
Comentarios en Hacker News
No sé si las diapositivas están subidas en otro sitio, pero las recibí como archivo aquí: https://dro.pm/c.pdf (45 MB), diapositiva 188
En ese momento no me di cuenta de que eso implicaba que no solo el autor del modelo, sino también Hugging Face si recibiera una orden judicial o si fuera hackeado, podría hacer lo mismo. Más aún si no se detecta la intrusión durante un tiempo¹
Estoy fuera de la industria de IA y nunca he ejecutado estos modelos directamente, pero me sorprendió que la industria estandarizara el formato tan rápido. Pensé que los archivos de modelo serían grandes matrices de números y algo de metadatos, pero al ver las diapositivas 186 y 195 parece que los modelos son básicamente scripts de Python que pueden hacer lo que quieran, y por eso fue fácil estandarizarlos. Dejar que cada quien haga lo que quiera evita el problema, pero tiene su costo
¹ Según https://www.verizon.com/business/resources/articles/s/how-to..., en 20% de los casos no detectan una intrusión durante meses. Claro, depende de la situación y del comportamiento del atacante
Pero enseguida te topas con el problema de las capas/operadores personalizados y su lógica de inferencia. Tienes que implementarlo usando solo las operaciones soportadas, lo cual en la práctica puede ser difícil o imposible, o bien debes proporcionar la implementación del operador en tiempo de ejecución, y terminas de vuelta en el mismo punto
[1] https://onnx.ai/
Es un formato bastante cercano a “grandes matrices de números y algo de metadatos”, aunque se descubrieron algunas vulnerabilidades y ya fueron parchadas
[1] https://www.databricks.com/blog/ggml-gguf-file-format-vulner...
[0]: https://huggingface.co/docs/hub/en/security-pickle
Para quien lo lea después, encontré el video de la presentación: https://m.youtube.com/watch?v=8XysLIq-e3s
Al menos Hugging Face básicamente dijo “probablemente sí pudieron haber accedido a secretos, pero no podemos confirmarlo”, lo cual suena más honesto
¿No deberían este tipo de cambios activar procesos que toman más tiempo, como auditorías de seguridad o pruebas de penetración antes de pasarlos a producción?
Estoy casi seguro de que se filtró a través de los secretos de un HF Space. Hace unos días recibí un mensaje de advertencia diciendo que algunos de mis Spaces se habían visto afectados
.env, también es públicoHace unos días recibí un correo avisando que esos Spaces habían sido comprometidos, así que parece que este problema lleva al menos varias semanas
¿O esto se trata puramente de robo de datos/código?
https://huggingface.co/docs/hub/en/spaces-overview
Parece ser la parte de frontend/portal, y supongo que está hecho en Python. Tal vez con algo como Django
¿No podrían guardar solo claves públicas y hacer que el usuario conserve la clave secreta para luego firmar las solicitudes?