微軟人工智慧部門意外暴露38TB敏感資料

Editor發表於2023-09-20

9月18日,Wiz研究團隊披露稱,微軟的AI研究團隊在GitHub上釋出一批開源訓練資料時,意外洩露了38TB敏感資料,其中包括兩名微軟員工工作站的磁碟備份(內含私鑰、密碼等,以及超過30000條員工之間的Microsoft Teams訊息)。


微軟人工智慧部門意外暴露38TB敏感資料微軟人工智慧部門意外暴露38TB敏感資料


根據Wiz Research的官網部落格,其在掃描網際網路查詢配置錯誤的儲存庫的過程中,發現了一個屬於微軟AI研究部門的儲存庫,該儲存庫用於為影像識別提供開原始碼及AI模型,並提供了一個從Azure儲存庫下載模型的URL連結。然而,此URL不僅允許訪問開源模型,它還授予了對整個儲存賬戶的許可權,因而錯誤地公開了其他微軟專用資料。


微軟人工智慧部門意外暴露38TB敏感資料


據瞭解,此事故是由一個配置錯誤的對微軟內部Azure儲存賬戶的共享訪問簽名(SAS)令牌引起的。SAS令牌是一種簽名URL,能夠授予對Azure儲存資源的某種訪問級別。從只讀到完全控制,使用者可以自定義訪問級別。在本事件中,SAS令牌被錯誤地配置為具有完全控制許可權。這使得Wiz研究團隊以及潛在攻擊者,不僅可以檢視儲存賬戶中的所有內容,還能夠刪除或更改現有檔案。


週一,微軟安全應急響應中心(MSRC)針對此事發布了一則安全公告:


微軟人工智慧部門意外暴露38TB敏感資料


微軟表示,事件所涉及的磁碟備份屬於兩名前員工。在接到有關這次洩露的報告後,微軟已經撤銷了SAS令牌,以防止外部訪問儲存賬戶,並對該問題進行了修復。在進一步的調查中,微軟得出結論,此事件並未洩露任何客戶資料,也未因此問題而使其他內部服務面臨風險,客戶無需採取任何措施來應對此問題。


在公告中,微軟指出,SAS令牌能夠用於限制客戶端允許訪問的資源、執行的操作、從哪個網路訪問以及訪問的時長等。在使用SAS令牌時,微軟有以下建議:應用最小許可權原則、使用短期SAS、謹慎處理SAS令牌、制定撤銷計劃、監控審計應用程式。



編輯:左右裡

資訊來源:Wiz Research、Microsoft

轉載請註明出處和本文連結

相關文章