微軟研究人員因 GitHub 存儲配置錯誤導致 38TB 敏感數據洩露
由於人工智能項目涉及大量數據集,隨著數據在團隊之間共享,意外暴露變得更加常見。近日,有報導稱,由於雲存儲訪問設置配置錯誤,微軟意外在網上洩露了“數十TB”的敏感內部數據。
雲安全公司 Wiz 發現,從 Microsoft AI 研究人員使用的 GitHub 存儲庫鏈接的 Azure 存儲容器分配了過於寬鬆的共享訪問簽名 (SAS) 令牌。這使得訪問存儲 URL 的任何人都可以完全控制整個存儲帳戶中的所有數據。
對於那些不熟悉的人來說, Azure 存儲是一項允許您將數據存儲為文件、磁盤、Blob、隊列或表的服務。洩露的數據包括 38 TB 的文件,其中包括兩名 Microsoft 員工的個人備份,其中包含密碼、密鑰和 30,000 多條 Microsoft Teams 內部消息。
由於配置錯誤,這些數據自 2020 年以來一直可以訪問。Wiz 於 6 月 22 日向微軟通報了該問題,兩天后該公司撤銷了 SAS 令牌。
調查發現沒有涉及客戶數據。然而,此次暴露可能允許惡意行為者在較長時間內刪除、修改文件或將文件注入到 Microsoft 的系統和內部服務中。
微軟在一篇博客文章中寫道;
沒有客戶數據被洩露,也沒有其他內部服務因此問題而面臨風險。客戶無需針對此問題採取任何行動……我們的調查結論是,此次曝光不會給客戶帶來任何風險。
針對 Wiz 的研究結果,微軟增強了GitHub 的秘密掃描服務。微軟安全響應中心表示,現在將監控所有公共開源代碼修改,以防止憑證或其他秘密以純文本形式暴露的情況。
Wiz 聯合創始人 Ami Luttwak 在接受 TechCrunch 採訪時表示;
人工智能為科技公司釋放了巨大的潛力。然而,隨著數據科學家和工程師競相將新的人工智能解決方案投入生產,他們處理的大量數據需要額外的安全檢查和保障措施。
由於許多開發團隊需要操縱大量數據、與同行共享數據或在公共開源項目上進行協作,像微軟這樣的情況越來越難以監控和避免。
資料來源:Microsoft 安全響應中心,來自TechCrunch
發佈留言