微軟研究人員因 GitHub 存儲配置錯誤導致 38TB 敏感數據洩露

由於人工智能項目涉及大量數據集，隨著數據在團隊之間共享，意外暴露變得更加常見。近日，有報導稱，由於雲存儲訪問設置配置錯誤，微軟意外在網上洩露了“數十TB”的敏感內部數據。

雲安全公司 Wiz 發現，從 Microsoft AI 研究人員使用的 GitHub 存儲庫鏈接的 Azure 存儲容器分配了過於寬鬆的共享訪問簽名 (SAS) 令牌。這使得訪問存儲 URL 的任何人都可以完全控制整個存儲帳戶中的所有數據。

對於那些不熟悉的人來說， Azure 存儲是一項允許您將數據存儲為文件、磁盤、Blob、隊列或表的服務。洩露的數據包括 38 TB 的文件，其中包括兩名 Microsoft 員工的個人備份，其中包含密碼、密鑰和 30,000 多條 Microsoft Teams 內部消息。

由於配置錯誤，這些數據自 2020 年以來一直可以訪問。Wiz 於 6 月 22 日向微軟通報了該問題，兩天后該公司撤銷了 SAS 令牌。

調查發現沒有涉及客戶數據。然而，此次暴露可能允許惡意行為者在較長時間內刪除、修改文件或將文件注入到 Microsoft 的系統和內部服務中。

微軟在一篇博客文章中寫道；

沒有客戶數據被洩露，也沒有其他內部服務因此問題而面臨風險。客戶無需針對此問題採取任何行動……我們的調查結論是，此次曝光不會給客戶帶來任何風險。

針對 Wiz 的研究結果，微軟增強了GitHub 的秘密掃描服務。微軟安全響應中心表示，現在將監控所有公共開源代碼修改，以防止憑證或其他秘密以純文本形式暴露的情況。

Wiz 聯合創始人 Ami Luttwak 在接受 TechCrunch 採訪時表示；

人工智能為科技公司釋放了巨大的潛力。然而，隨著數據科學家和工程師競相將新的人工智能解決方案投入生產，他們處理的大量數據需要額外的安全檢查和保障措施。

由於許多開發團隊需要操縱大量數據、與同行共享數據或在公共開源項目上進行協作，像微軟這樣的情況越來越難以監控和避免。

資料來源：Microsoft 安全響應中心，來自TechCrunch