2024年03月28日
據BleepingComputer消息,云安全公司 Wiz 近期披露,微軟人工智能研究部門在向公共 GitHub 存儲庫貢獻開源人工智能學習模型時意外泄露了38 TB 的敏感數據。
Wiz 的安全研究人員發現,一名微軟員工無意中共享了因配置錯誤而泄露敏感信息的 Azure Blob 存儲桶URL。
微軟認為這是由于使用過于寬松的共享訪問簽名(SAS)令牌,該令牌能對共享文件進行完全的控制,進而能以不可監控和撤銷的方式進行數據共享。Wiz的研究人員警告稱,由于缺乏監控和治理,SAS 令牌存在安全風險,應盡可能限制其使用,由于微軟沒有提供在 Azure中集中管理的方式,這些令牌非常難以跟蹤。
Wiz發現,泄露的信息包括屬于微軟員工的個人信息備份、微軟服務密碼以及來自 359 名 微軟員工共計 3萬多條內部 Microsoft Teams 消息的存檔。
在9月18日發布的一份通報中,微軟安全響應中心(MSRC)團隊表示沒有客戶數據被泄露,也沒有其他內部服務因此次事件而面臨危險。
Wiz 于 2023 年 6 月 22 日向 MSRC 報告了該事件,MSRC 撤銷了 SAS 令牌以阻止對 Azure 存儲帳戶的所有外部訪問,從而于 2023 年 6 月 24 日緩解了該問題。
Wiz 首席技術官兼聯合創始人 Ami Luttwak 向BleepingComputer表示,人工智能為科技公司釋放了巨大的潛力。然而,隨著數據科學家和工程師競相將新的人工智能解決方案投入生產,他們處理的大量數據需要額外的安全檢查和保障措施。
就在1年前,2022 年 9 月,威脅情報公司 SOCRadar發現了另一個微軟配置錯誤的 Azure Blob 存儲桶,其中包含存儲在 2017 年至 2022 年 8 月文件中的敏感數據,這些數據與來自全球 111 個國家和地區的 65000 多個實體存在關聯。
來源:FreeBuf.COM