微軟人工智慧部門意外暴露38TB敏感資料

9月18日，Wiz研究團隊披露稱，微軟的AI研究團隊在GitHub上釋出一批開源訓練資料時，意外洩露了38TB敏感資料，其中包括兩名微軟員工工作站的磁碟備份（內含私鑰、密碼等，以及超過30000條員工之間的Microsoft Teams訊息）。

根據Wiz Research的官網部落格，其在掃描網際網路查詢配置錯誤的儲存庫的過程中，發現了一個屬於微軟AI研究部門的儲存庫，該儲存庫用於為影像識別提供開原始碼及AI模型，並提供了一個從Azure儲存庫下載模型的URL連結。然而，此URL不僅允許訪問開源模型，它還授予了對整個儲存賬戶的許可權，因而錯誤地公開了其他微軟專用資料。

據瞭解，此事故是由一個配置錯誤的對微軟內部Azure儲存賬戶的共享訪問簽名（SAS）令牌引起的。SAS令牌是一種簽名URL，能夠授予對Azure儲存資源的某種訪問級別。從只讀到完全控制，使用者可以自定義訪問級別。在本事件中，SAS令牌被錯誤地配置為具有完全控制許可權。這使得Wiz研究團隊以及潛在攻擊者，不僅可以檢視儲存賬戶中的所有內容，還能夠刪除或更改現有檔案。

週一，微軟安全應急響應中心（MSRC）針對此事發布了一則安全公告：

微軟表示，事件所涉及的磁碟備份屬於兩名前員工。在接到有關這次洩露的報告後，微軟已經撤銷了SAS令牌，以防止外部訪問儲存賬戶，並對該問題進行了修復。在進一步的調查中，微軟得出結論，此事件並未洩露任何客戶資料，也未因此問題而使其他內部服務面臨風險，客戶無需採取任何措施來應對此問題。

在公告中，微軟指出，SAS令牌能夠用於限制客戶端允許訪問的資源、執行的操作、從哪個網路訪問以及訪問的時長等。在使用SAS令牌時，微軟有以下建議：應用最小許可權原則、使用短期SAS、謹慎處理SAS令牌、制定撤銷計劃、監控審計應用程式。

編輯：左右裡

資訊來源：Wiz Research、Microsoft

轉載請註明出處和本文連結