微软人工智能研究人员在GitHub上发布一个开源训练数据存储桶时,意外暴露了数十TB的敏感数据,其中包括私钥和密码。云安全初创公司Wiz在与TechCrunch分享的研究报告中称,它发现了一个属于微软人工智能研究部门的GitHub存储库,这是其正在进行的云托管数据意外暴露工作的一部分。
该 GitHub 存储库提供了用于图像识别的开源代码和人工智能模型,它指示读者从 Azure 存储的 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储账户的权限,从而错误地暴露了更多私人数据。
这些数据包括 38 TB 的敏感信息,其中包括两名微软员工个人电脑的个人备份。这些数据还包含其他敏感的个人数据,包括微软服务的密码、密钥以及数百名微软员工的 30000 多条内部 Microsoft Teams 消息。
据 Wiz 称,从 2020 年开始就暴露了这些数据的 URL 也被错误地配置为允许”完全控制”而非”只读”权限,这意味着任何知道在哪里查看的人都有可能删除、替换和注入恶意内容。
Wiz 指出,存储账户并没有直接暴露。相反,微软人工智能开发人员在URL中加入了一个过度许可的共享访问签名(SAS)令牌。SAS 令牌是 Azure 使用的一种机制,它允许用户创建可共享的链接,授予对 Azure 存储账户数据的访问权限。
Wiz 联合创始人兼首席技术官阿米-卢特瓦克(Ami Luttwak)介绍说:”人工智能为科技公司释放了巨大的潜力。然而,随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们所处理的海量数据需要额外的安全检查和保护措施。由于许多开发团队需要处理海量数据、与同行共享数据或在公共开源项目上合作,像微软这样的案例越来越难以监控和避免。”
Wiz表示,它在6月22日与微软分享了调查结果,微软在两天后的6月24日撤销了SAS令牌。微软表示,它已于 8 月 16 日完成了对潜在组织影响的调查。
微软安全响应中心在发表前分享的一篇博文中说,”没有客户数据被暴露,也没有其他内部服务因为这个问题而面临风险”。
微软表示,根据 Wiz 的研究结果,它已经扩展了 GitHub 的秘密扫描服务,该服务可以监控所有公开开源代码的变更,以防明文暴露凭证和其他秘密,包括任何可能具有过度许可过期或权限的 SAS 令牌。
转自cnBeta,原文链接:https://www.toutiao.com/article/7280153155953082943/?log_from=4efa4fbc99792_1695088226410
封面来源于网络,如有侵权请联系删除