站长之家(ChinaZ.com) 9月19日消息:微软的人工智能研究员在 GitHub 上发布开源训练数据存储桶时,意外暴露了数十 TB 的敏感数据,包括私钥和密码。
云安全初创公司 Wiz 发现了这个属于微软 AI 研究部门的 GitHub 仓库,并将其作为其持续进行的云托管数据意外曝光工作的一部分分享给 TechCrunch。
该 GitHub 仓库提供了用于图像识别的开源代码和 AI 模型,要求读者从 Azure Storage URL 下载模型。然而,Wiz 发现该 URL 配置为授予整个存储账户权限,因此错误地公开了其他私密数据。
这些数据包括 38TB 敏感信息,其中包括两名微软员工个人电脑备份文件、Microsoft 服务密码、秘密密钥以及来自数百名微软员工的超过 30,000 条内部 Microsoft Teams 消息等其他敏感个人信息。
根据 Wiz 所说,「full control」而非「read-only」权限被误配置到该 URL 中。这意味着任何知道如何查找它们的人都可能删除、替换或注入恶意内容。
Wiz 指出存储账户并未直接暴露。相反,在 URL 中加入一个过度宽松共享访问签名 (SAS) token 是导致泄漏的原因。SAS token 是 Azure 使用的一种机制,允许用户创建可共享链接以授予对 Azure 存储账户数据的访问权限。
Wiz 表示已于 6 月 22 日与微软分享了其发现,并于两天后在 6 月 24 日吊销了 SAS token。微软称已于 8 月 16 日完成了对潜在组织影响的调查。
Microsoft 安全响应中心在发布给 TechCrunch 之前的博客文章中表示,「没有暴露任何客户数据,也没有因此问题而使其他内部服务面临风险。」
微软表示,由于 Wiz 的研究,它已经扩展了 GitHub 的秘密扫描服务,该服务可以监控所有公开源代码的更改,以防明文暴露凭证和其他秘密,包括任何可能具有过度许可过期或权限的 SAS token。
(举报)