Η Asana λέει ότι η λειτουργία MCP AI εξέθεσε δεδομένα πελατών
secnews.gr
IT Security News, Gadgets, Tweaks for Geeks and More
Η Asana λέει ότι η λειτουργία MCP AI εξέθεσε δεδομένα πελατών
https://www.secnews.gr/651434/asana-leei-leitourgia-mcp-ai-eksethese-dedomena-pelaton/
Jun 19th 2025, 11:00
by Absenta Mia
Η πλατφόρμα διαχείρισης εργασιών Asana προειδοποιεί τους χρήστες της για μια νέα λειτουργία, το Model Context Protocol (MCP), καθώς εντοπίστηκε ένα σφάλμα στη σχεδίασή της που ενδέχεται να οδήγησε σε διαρροή δεδομένων.
Δείτε επίσης: UBS: Διαρροή δεδομένων επηρεάζει χιλιάδες υπαλλήλους
Η έκθεση των δεδομένων οφειλόταν σε λογικό σφάλμα στο σύστημα MCP και όχι σε παραβίαση ασφαλείας ή επίθεση από χάκερ. Παρ' όλα αυτά, το περιστατικό μπορεί να εγκυμονεί σημαντικούς κινδύνους για κάποιους χρήστες.
Η Asana είναι μια πλατφόρμα SaaS για διαχείριση έργων και εργασιών, που χρησιμοποιείται από οργανισμούς για να σχεδιάζουν, να παρακολουθούν και να διαχειρίζονται την εργασία τους, να αναθέτουν καθήκοντα σε μέλη της ομάδας, να ορίζουν προθεσμίες και να συνεργάζονται μέσα από μια κεντρική διεπαφή. Μέχρι πέρυσι, η πλατφόρμα είχε πάνω από 130.000 πελάτες και εκατομμύρια χρήστες του δωρεάν πακέτου σε 190 χώρες.
Την 1η Μαΐου 2025, η Asana παρουσίασε τη λειτουργία MCP Server με ενσωμάτωση μεγάλων γλωσσικών μοντέλων (LLM), παρέχοντας δυνατότητες τεχνητής νοημοσύνης όπως περίληψη κειμένων, έξυπνες απαντήσεις, φυσική γλωσσική αναζήτηση και άλλες.
Ωστόσο, ένα σφάλμα λογισμικού στον διακομιστή MCP οδήγησε σε ακούσια διαρροή δεδομένων από περιβάλλοντα Asana σε άλλους χρήστες του MCP, αν και τα δεδομένα που εκτέθηκαν περιορίζονταν εντός του εύρους πρόσβασης κάθε χρήστη.
Δείτε ακόμα: Zoomcar: Παραβίαση δεδομένων επηρεάζει 8.4 εκατ. πελάτες
Αυτό σημαίνει πως δεν διέρρευσαν ολόκληροι χώροι εργασίας οργανισμών στο κοινό. Παρ' όλα αυτά, χρήστες από άλλες εταιρείες με πρόσβαση στο MCP ενδέχεται να είδαν ορισμένα δεδομένα από άλλα domains, όπως ερωτήματα που δημιουργήθηκαν από chatbots.
Ανάλογα με το είδος της ενσωμάτωσης και τον τρόπο αλληλεπίδρασης με τα chatbots, τα δεδομένα που εκτέθηκαν μπορεί να περιλάμβαναν: πληροφορίες σε επίπεδο εργασίας, μεταδεδομένα έργων, στοιχεία ομάδων, σχόλια και συζητήσεις, καθώς και αρχεία που είχαν μεταφορτωθεί.
Η Asana ανακάλυψε το λογικό σφάλμα που προκάλεσε αυτή τη διαρροή στις 4 Ιουνίου, γεγονός που σημαίνει ότι οι διαρροές δεδομένων μεταξύ οργανισμών ενδέχεται να συνέβαιναν για περισσότερο από έναν μήνα.
Συνιστάται στους διαχειριστές να ελέγχουν τα αρχεία καταγραφής της Asana για πρόσβαση στο MCP, να ελέγχουν τις συνοπτικές πληροφορίες ή τις απαντήσεις που δημιουργούνται από την Τεχνητή Νοημοσύνη και να το αναφέρουν αμέσως εάν βλέπουν δεδομένα που φαίνεται να έχουν αντληθεί από άλλον οργανισμό.
Δείτε επίσης: Κλεμμένα δεδομένα Ticketmaster βρέθηκαν προς πώληση
Βάσει των παραπάνω, η περίπτωση της Asana αναδεικνύει έναν κρίσιμο κίνδυνο που συνοδεύει τη χρήση τεχνητής νοημοσύνης και μεγάλων γλωσσικών μοντέλων (LLMs) σε επιχειρησιακά περιβάλλοντα: ακόμα και χωρίς κακόβουλη επίθεση, ένα λογικό σφάλμα στην υλοποίηση μπορεί να οδηγήσει σε παραβίαση εμπιστευτικότητας, έστω και σε περιορισμένη κλίμακα.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz
IT Security News, Gadgets, Tweaks for Geeks and More
Η Asana λέει ότι η λειτουργία MCP AI εξέθεσε δεδομένα πελατών
https://www.secnews.gr/651434/asana-leei-leitourgia-mcp-ai-eksethese-dedomena-pelaton/
Jun 19th 2025, 11:00
by Absenta Mia
Η πλατφόρμα διαχείρισης εργασιών Asana προειδοποιεί τους χρήστες της για μια νέα λειτουργία, το Model Context Protocol (MCP), καθώς εντοπίστηκε ένα σφάλμα στη σχεδίασή της που ενδέχεται να οδήγησε σε διαρροή δεδομένων.
Δείτε επίσης: UBS: Διαρροή δεδομένων επηρεάζει χιλιάδες υπαλλήλους
Η έκθεση των δεδομένων οφειλόταν σε λογικό σφάλμα στο σύστημα MCP και όχι σε παραβίαση ασφαλείας ή επίθεση από χάκερ. Παρ' όλα αυτά, το περιστατικό μπορεί να εγκυμονεί σημαντικούς κινδύνους για κάποιους χρήστες.
Η Asana είναι μια πλατφόρμα SaaS για διαχείριση έργων και εργασιών, που χρησιμοποιείται από οργανισμούς για να σχεδιάζουν, να παρακολουθούν και να διαχειρίζονται την εργασία τους, να αναθέτουν καθήκοντα σε μέλη της ομάδας, να ορίζουν προθεσμίες και να συνεργάζονται μέσα από μια κεντρική διεπαφή. Μέχρι πέρυσι, η πλατφόρμα είχε πάνω από 130.000 πελάτες και εκατομμύρια χρήστες του δωρεάν πακέτου σε 190 χώρες.
Την 1η Μαΐου 2025, η Asana παρουσίασε τη λειτουργία MCP Server με ενσωμάτωση μεγάλων γλωσσικών μοντέλων (LLM), παρέχοντας δυνατότητες τεχνητής νοημοσύνης όπως περίληψη κειμένων, έξυπνες απαντήσεις, φυσική γλωσσική αναζήτηση και άλλες.
Ωστόσο, ένα σφάλμα λογισμικού στον διακομιστή MCP οδήγησε σε ακούσια διαρροή δεδομένων από περιβάλλοντα Asana σε άλλους χρήστες του MCP, αν και τα δεδομένα που εκτέθηκαν περιορίζονταν εντός του εύρους πρόσβασης κάθε χρήστη.
Δείτε ακόμα: Zoomcar: Παραβίαση δεδομένων επηρεάζει 8.4 εκατ. πελάτες
Αυτό σημαίνει πως δεν διέρρευσαν ολόκληροι χώροι εργασίας οργανισμών στο κοινό. Παρ' όλα αυτά, χρήστες από άλλες εταιρείες με πρόσβαση στο MCP ενδέχεται να είδαν ορισμένα δεδομένα από άλλα domains, όπως ερωτήματα που δημιουργήθηκαν από chatbots.
Ανάλογα με το είδος της ενσωμάτωσης και τον τρόπο αλληλεπίδρασης με τα chatbots, τα δεδομένα που εκτέθηκαν μπορεί να περιλάμβαναν: πληροφορίες σε επίπεδο εργασίας, μεταδεδομένα έργων, στοιχεία ομάδων, σχόλια και συζητήσεις, καθώς και αρχεία που είχαν μεταφορτωθεί.
Η Asana ανακάλυψε το λογικό σφάλμα που προκάλεσε αυτή τη διαρροή στις 4 Ιουνίου, γεγονός που σημαίνει ότι οι διαρροές δεδομένων μεταξύ οργανισμών ενδέχεται να συνέβαιναν για περισσότερο από έναν μήνα.
Συνιστάται στους διαχειριστές να ελέγχουν τα αρχεία καταγραφής της Asana για πρόσβαση στο MCP, να ελέγχουν τις συνοπτικές πληροφορίες ή τις απαντήσεις που δημιουργούνται από την Τεχνητή Νοημοσύνη και να το αναφέρουν αμέσως εάν βλέπουν δεδομένα που φαίνεται να έχουν αντληθεί από άλλον οργανισμό.
Δείτε επίσης: Κλεμμένα δεδομένα Ticketmaster βρέθηκαν προς πώληση
Βάσει των παραπάνω, η περίπτωση της Asana αναδεικνύει έναν κρίσιμο κίνδυνο που συνοδεύει τη χρήση τεχνητής νοημοσύνης και μεγάλων γλωσσικών μοντέλων (LLMs) σε επιχειρησιακά περιβάλλοντα: ακόμα και χωρίς κακόβουλη επίθεση, ένα λογικό σφάλμα στην υλοποίηση μπορεί να οδηγήσει σε παραβίαση εμπιστευτικότητας, έστω και σε περιορισμένη κλίμακα.
Πηγή: bleepingcomputer
You are receiving this email because you subscribed to this feed at https://blogtrottr.com
If you no longer wish to receive these emails, you can unsubscribe here:
https://blogtrottr.com/unsubscribe/nfz/3xfHTz