Hugging FaceのSpacesプラットフォームにおけるSecret流出事案を公開

Hugging Faceのセキュリティインシデント対応

事案の概要

• Hugging FaceのSpacesプラットフォームで不正アクセスが検知された。
• 一部のSpacesの秘密情報に不正にアクセスされた可能性がある。

対応措置

• 第一の措置として、関連するHFトークンを失効させた。
• 影響を受けたユーザーにメールで通知した。
• すべてのキーとトークンを更新し、HFトークンを細分化されたアクセストークンへ移行することを推奨している。

セキュリティ強化措置

• 外部のサイバーセキュリティ専門家と協力して問題を調査し、セキュリティポリシーを見直している。
• Spacesインフラのセキュリティを強化するため、いくつかの重要な改善を導入した:
  • 組織トークンを完全に廃止し、追跡性と監査機能を向上させた。
  • Spacesの秘密情報に対するキー管理サービス(KMS)を実装した。
  • 流出したトークンを特定し、事前に無効化できるシステム能力を強化した。
  • 全体的なセキュリティを改善した。
  • 細分化されたアクセストークンの機能が完全になり次第、「クラシック」読み取り・書き込みトークンを完全に廃止する計画である。

法的措置

• この事案を法執行機関とデータ保護当局に報告した。

ユーザーへの案内

• この事案による不便を深く謝罪し、これをインフラ全体のセキュリティを強化する機会にすると約束している。
• 追加の質問がある場合は、security@huggingface.co まで連絡することを推奨している。

GN⁺の見解

• セキュリティ強化の必要性: 今回の事案は、ソフトウェアプラットフォームにおけるセキュリティ強化の重要性を改めて示している。特に、機密情報へのアクセス制御と監視が重要である。
• 細分化されたアクセストークン: 細分化されたアクセストークンは、セキュリティを高める有効な方法である。最小権限の原則を適用し、不要な権限を制限できる。
• 外部専門家との協力: 外部のサイバーセキュリティ専門家との協力は、問題解決に大きく役立つ。これは、内部人員だけでは解決が難しい複雑な問題に対処できるようにする。
• 法的対応: 法執行機関とデータ保護当局への報告は、透明性を維持し、ユーザーの信頼を回復するうえで重要である。
• ユーザーコミュニケーション: ユーザーに迅速かつ明確に状況を知らせることは、信頼を維持するために不可欠である。これはユーザーとの信頼関係を強化する。