微软人工智能研究人员在GitHub上发布一个开源训练数据存储桶时,意外暴露了数十TB的敏感数据,其中包括私钥和密码。云安全初创公司Wiz在与TechCrunch分享的研究报告中称,它发现了一个属于微软人工智能研究部门的GitHub存储库,这是其正在进行的云托管数据意外暴露工作的一部分。
该GitHub存储库提供了用于图像识别的开源代码和人工智能模型,它指示读者从Azure存储的URL下载模型。然而,Wiz发现该URL被配置为授予整个存储账户的权限,从而错误地暴露了更多私人数据。
这些数据包括38TB的敏感信息,其中包括两名微软员工个人电脑的个人备份。这些数据还包含其他敏感的个人数据,包括微软服务的密码、密钥以及数百名微软员工的30000多条内部MicrosoftTeams消息。
据Wiz称,从2020年开始就暴露了这些数据的URL也被错误地配置为允许"完全控制"而非"只读"权限,这意味着任何知道在哪里查看的人都有可能删除、替换和注入恶意内容。
Wiz指出,存储账户并没有直接暴露。相反,微软人工智能开发人员在URL中加入了一个过度许可的共享访问签名(SAS)令牌。SAS令牌是Azure使用的一种机制,它允许用户创建可共享的链接,授予对Azure存储账户数据的访问权限。
Wiz联合创始人兼首席技术官阿米-卢特瓦克(AmiLuttwak)介绍说:"人工智能为科技公司释放了巨大的潜力。然而,随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们所处理的海量数据需要额外的安全检查和保护措施。由于许多开发团队需要处理海量数据、与同行共享数据或在公共开源项目上合作,像微软这样的案例越来越难以监控和避免。"
Wiz表示,它在6月22日与微软分享了调查结果,微软在两天后的6月24日撤销了SAS令牌。微软表示,它已于8月16日完成了对潜在组织影响的调查。
微软安全响应中心在发表前分享的一篇博文中说,"没有客户数据被暴露,也没有其他内部服务因为这个问题而面临风险"。
微软表示,根据Wiz的研究结果,它已经扩展了GitHub的秘密扫描服务,该服务可以监控所有公开开源代码的变更,以防明文暴露凭证和其他秘密,包括任何可能具有过度许可过期或权限的SAS令牌。
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】