微軟人工智能部門泄漏38TB敏感數據
責編:gltian |2023-09-20 14:17:29云安全公司Wiz本周一撰文披露微軟AI研究部門從2020年7月開始公開泄漏了高達38TB的敏感數據,該部門當時正在向一個公共GitHub代碼庫貢獻開源AI學習模型。此次數據泄漏事件持續三年之久,直到一位Wiz研究人員發現一名微軟員工不小心分享的一個URL指向包含泄露信息的Azure Blob存儲桶(該URL被配置為可分享該賬戶下所有38TB的文件)。
微軟將數據泄露歸咎于團隊使用了過于寬松的共享訪問簽名(SAS)令牌,該令牌允許對共享文件進行完全控制。Wiz研究人員描述說,這一Azure功能使數據共享變得難以監控和撤銷。
如果使用得當,共享訪問簽名(SAS)令牌是一種可選的安全訪問技術,可用于授權訪問存儲帳戶內的資源,包括對客戶端數據訪問的精確控制,指定訪客可以與之交互的資源,定義訪客對這些資源的權限,并確定SAS令牌的有效期。
Wiz警告說:“由于缺乏監控和管理,SAS令牌構成了安全風險,其使用應盡可能受到限制。因為這些令牌非常難以追蹤,而且微軟沒有在Azure門戶中提供集中管理方式。SAS令牌可以被配置為永遠有效,沒有到期時間。因此,使用SAS令牌進行外部共享是不安全的,應該避免。”
Wiz研究團隊發現,除了開源模型外,泄露數據的內部存儲帳戶還無意中允許訪問額外的38TB私人數據。這些暴露的數據包括:微軟員工個人信息備份,微軟服務密碼、密鑰,以及來自359名微軟員工的超過3萬條微軟Teams內部消息的存檔。
微軟安全響應中心(MSRC)團隊在周一的通告中表示,沒有客戶數據被暴露,沒有其他內部服務面臨風險。Wiz在2023年6月22日向MSRC報告了此事件,微軟在2023年6月24日撤銷了SAS令牌,以阻止所有對Azure存儲帳戶的外部訪問,從而解決了問題。
Wiz的首席技術官兼聯合創始人AmiLuttwak指出:“AI潛力巨大,但是隨著數據科學家和工程師爭先恐后將新的AI解決方案投入生產,AI處理的大量數據需要進行額外的安全檢查和保護措施。AI模型的訓練需要大量數據,這意味著開發團隊也需要處理大量數據、與同事分享數據或在公共開源項目上進行合作,像微軟這樣的AI項目數據泄露事件將越來越難以監控和避免。”
參考鏈接:
https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers
來源:GoUpSec