网络第5域

微软人工智能研究人员意外曝光多达数十TB的内部敏感数据

字号+作者: 来源:cnBeta.COM 2023-09-18 21:09 评论(创建话题) 收藏成功收藏本文

微软人工智能研究人员在GitHub上发布一个开源训练数据存储桶时,意外暴露了数十TB的敏感数据,其中包括私钥和密码。云安全初创公司Wiz在与TechCrunch分享'...

微软人工智能研究人员在GitHub上发布一个开源训练数据存储桶时,意外暴露了数十TB的敏感数据,其中包括私钥和密码。云安全初创公司Wiz在与TechCrunch分享的研究报告中称,它发现了一个属于微软人工智能研究部门的GitHub存储库,这是其正在进行的云托管数据意外暴露工作的一部分。Jyk品论天涯网

Jyk品论天涯网

该GitHub存储库提供了用于图像识别的开源代码和人工智能模型,它指示读者从Azure存储的URL下载模型。然而,Wiz发现该URL被配置为授予整个存储账户的权限,从而错误地暴露了更多私人数据。Jyk品论天涯网

这些数据包括38TB的敏感信息,其中包括两名微软员工个人电脑的个人备份。这些数据还包含其他敏感的个人数据,包括微软服务的密码、密钥以及数百名微软员工的30000多条内部MicrosoftTeams消息。Jyk品论天涯网

据Wiz称,从2020年开始就暴露了这些数据的URL也被错误地配置为允许"完全控制"而非"只读"权限,这意味着任何知道在哪里查看的人都有可能删除、替换和注入恶意内容。Jyk品论天涯网

Wiz指出,存储账户并没有直接暴露。相反,微软人工智能开发人员在URL中加入了一个过度许可的共享访问签名(SAS)令牌。SAS令牌是Azure使用的一种机制,它允许用户创建可共享的链接,授予对Azure存储账户数据的访问权限。Jyk品论天涯网

Wiz联合创始人兼首席技术官阿米-卢特瓦克(AmiLuttwak)介绍说:"人工智能为科技公司释放了巨大的潜力。然而,随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们所处理的海量数据需要额外的安全检查和保护措施。由于许多开发团队需要处理海量数据、与同行共享数据或在公共开源项目上合作,像微软这样的案例越来越难以监控和避免。"Jyk品论天涯网

Wiz表示,它在6月22日与微软分享了调查结果,微软在两天后的6月24日撤销了SAS令牌。微软表示,它已于8月16日完成了对潜在组织影响的调查。Jyk品论天涯网

微软安全响应中心在发表前分享的一篇博文中说,"没有客户数据被暴露,也没有其他内部服务因为这个问题而面临风险"。Jyk品论天涯网

微软表示,根据Wiz的研究结果,它已经扩展了GitHub的秘密扫描服务,该服务可以监控所有公开开源代码的变更,以防明文暴露凭证和其他秘密,包括任何可能具有过度许可过期或权限的SAS令牌。Jyk品论天涯网

本网除标明“PLTYW原创”的文章外,其它文章均为转载或者爬虫(PBot)抓取; 本文只代表作者个人观点,不代表本站观点,仅供大家学习参考。本网站属非谋利性质,旨在传播马克思主义和共产主义历史文献和参考资料。凡刊登的著作文献侵犯了作者、译者或版权持有人权益的,可来信联系本站删除。 本站邮箱[email protected]