微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码
微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码
在与 TechCrunch 分享的研究中,云安全初创公司 Wiz表示,作为其对云端数据意外暴露问题的持续研究的一部分,他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。
该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被指示从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储帐户的权限,从而错误地暴露了其他私人数据。
这些数据包括 38 TB 的敏感信息,其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据,包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。
据 Wiz 称,该 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。
Wiz 指出,存储帐户并未直接公开。相反,Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制,允许用户创建可共享链接,授予对 Azure 存储帐户数据的访问权限。
Wiz 表示,它于 6 月 22 日与微软分享了调查结果,两天后,即 6 月 24 日,微软撤销了 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。
