微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码
微软人工智能研究人员在GitHub上发布开源训练数据时,意外暴露了数十TB的敏感数据,包括私钥和密码在与TechCrunch分享的研究中,云安全初创公司Wiz表示,它发现了一个属于微软人工智能研究部门的GitHub存储库,这是其针对云托管数据意外泄露正在进行的工作的一部分。GitHub存储库提供了用于图像识别的开源代码和AI模型,读者被指示从Azure存储URL下载模型。然而,Wiz发现该URL被配置为授予整个存储帐户的权限,从而错误地暴露了其他私人数据。这些数据包括38TB的敏感信息,其中包括两名Microsoft员工个人计算机的个人备份。这些数据还包含其他敏感个人数据,包括Microsoft服务的密码、密钥以及来自数百名Microsoft员工的30,000多条内部MicrosoftTeams消息。据Wiz称,该URL自2020年起就暴露了这些数据,该URL也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。Wiz指出,存储帐户并未直接公开。相反,MicrosoftAI开发人员在URL中包含了过于宽松的共享访问签名(SAS)令牌。SAS令牌是Azure使用的一种机制,允许用户创建可共享链接,授予对Azure存储帐户数据的访问权限。Wiz表示,它于6月22日与微软分享了调查结果,两天后,即6月24日,微软撤销了SAS令牌。微软表示,它于8月16日完成了对潜在组织影响的调查。——