Copilot ने audit log को नुकसान पहुँचाया, लेकिन Microsoft ने ग्राहकों को नहीं बताया

• Microsoft के M365 Copilot में audit log रिकॉर्ड न होने वाली एक कमजोरी मिली, जिसके कारण file access का रिकॉर्ड log में नहीं बचता था
• सिर्फ Copilot को एक खास तरीके से काम करने के लिए कहने पर audit record के बिना file access संभव था, जिससे insider threat और कानूनी/नियामकीय उल्लंघन का जोखिम बढ़ सकता था
• शोधकर्ता ने इसकी रिपोर्ट MSRC को दी, लेकिन Microsoft ने अपनी आधिकारिक नीति के विपरीत CVE जारी नहीं किया और ग्राहकों को भी सूचित नहीं किया
• Microsoft ने इस कमजोरी को केवल 'Important' स्तर का माना और यह कहते हुए कि automatic update से समस्या हल हो गई है, अलग से सूचना आवश्यक नहीं समझी
• लेकिन इससे HIPAA जैसे विनियमित उद्योगों में audit log पर निर्भर कंपनियों के लिए गंभीर सुरक्षा और कानूनी समस्याएँ पैदा हो सकती हैं, और Microsoft की पारदर्शिता की कमी की कड़ी आलोचना हो रही है

Copilot की audit log कमजोरी: अवलोकन और प्रभाव

• Microsoft के प्रमुख AI service Copilot, जिसे कंपनी तेज़ी से अपना रही है, में ऐसा दोष पाया गया जिसमें user request के आधार पर file access history audit log में दर्ज नहीं होती थी
• सामान्य स्थिति में M365 Copilot जब किसी file का summary बनाता है, तो उस file access का रिकॉर्ड audit log में जाना चाहिए, और यह किसी संगठन की information security का महत्वपूर्ण हिस्सा है
• लेकिन अगर Copilot से कहा जाए कि file summary result में file link शामिल न करे, तो उस access का log बिल्कुल दर्ज नहीं होता
  • उदाहरण के लिए, कोई कर्मचारी नौकरी छोड़ने से पहले Copilot के जरिए बड़ी संख्या में files देखे, तो वह बिना किसी log trace के data बाहर ले जा सकता है
• यह कमजोरी किसी बनावटी hacking तकनीक से नहीं, बल्कि संयोग से और स्वाभाविक रूप से भी सामने आ सकती है; वास्तव में ब्लॉग लेखक ने इसे अपने feature test के दौरान पाया
• Zenity के CTO Michael Bargury ने भी यह कमजोरी एक साल पहले खोजकर Microsoft को रिपोर्ट की थी, लेकिन इस बार की रिपोर्ट तक भी यह लंबे समय तक अनदेखी रही

MSRC (कमजोरी रिपोर्टिंग) की समस्याएँ और प्रतिक्रिया की अस्वीकार्यता

• Microsoft कमजोरी रिपोर्टिंग के लिए आधिकारिक guidance और process देता है, लेकिन वास्तविक response process में उसने उनका ठीक से पालन नहीं किया
• लेखक द्वारा MSRC को रिपोर्ट देने के बाद, reproduction steps पूरे होने से पहले ही Copilot feature बदल जाने जैसी उलझनभरी स्थिति बनी
  • रिपोर्ट status change (reproduction → development) जैसी प्रगति दिखी, लेकिन progress या फैसलों के आधार पर स्पष्ट communication की कमी रही
• security vulnerability के लिए CVE जारी करने पर Microsoft की ओर से यह रुख बताया गया कि आधिकारिक नंबर तभी दिया जाता है जब ग्राहकों को स्वयं कार्रवाई करनी हो
  • लेकिन यह Microsoft की पहले की policy से अलग है, और इस कमजोरी को सिर्फ 'Important' rating देकर न तो सार्वजनिक रूप से घोषित किया गया और न ही अलग से सूचना दी गई
• कुल मिलाकर progress tracking वास्तविक कार्रवाई से अलग केवल दिखावटी रूप से update होती रही, जिससे रिपोर्ट करने वाले के लिए यह अनुभव अक्षम और अपारदर्शी रहा

सूचना और ग्राहक अलर्ट न देने की समस्या

• Microsoft ने इस कमजोरी के लिए न तो CVE जारी करने का, न ही ग्राहकों को सूचित करने का फैसला किया
• चूँकि यह ऐसी गलती थी जो अनजाने में भी आसानी से हो सकती थी, इसलिए वास्तविक संगठनों में लंबे समय तक audit log के गलत तरीके से दर्ज होने की संभावना बनी रही
• स्वास्थ्य संस्थान (जैसे HIPAA) सहित कई संगठन कानूनी और नियामकीय उद्देश्यों के लिए audit log का उपयोग करते हैं, फिर भी Microsoft ने प्रभावित होने की बात उपयोगकर्ताओं को नहीं बताई
• audit log संगठन की security, incident response और कानूनी साक्ष्य सहित कई क्षेत्रों में केंद्रीय भूमिका निभाते हैं, लेकिन Microsoft ने इस मुद्दे पर चुप्पी बनाए रखी
• यह दृष्टिकोण संकेत देता है कि अन्य संभावित security issues भी सार्वजनिक किए बिना संभाले जा सकते हैं, जिससे संगठन की विश्वसनीयता पर गंभीर सवाल उठते हैं