微軟AI研究人員意外泄露38TB內(nèi)部數(shù)據(jù)，包括私鑰、密碼

9 月 18 日消息，云安全初創(chuàng)公司 Wiz Research 今日發(fā)布公告稱(chēng)，在微軟 AI 的 GitHub 存儲(chǔ)庫(kù)中發(fā)現(xiàn)了一起數(shù)據(jù)泄露事件，這一切由一個(gè)配置錯(cuò)誤的 SAS（IT之家注：共享訪問(wèn)簽名）令牌引起。

細(xì)節(jié)方面，微軟的 AI 研究團(tuán)隊(duì)在 GitHub 上發(fā)布了開(kāi)源訓(xùn)練數(shù)據(jù)，但是一同意外暴露了 38TB 的其他內(nèi)部數(shù)據(jù)，包括微軟幾名員工個(gè)人 PC 的磁盤(pán)備份。而在這個(gè)磁盤(pán)備份中，又包含了機(jī)密、私人密鑰、密碼和數(shù)百名 Microsoft 員工超過(guò) 30000 條 Microsoft Teams 內(nèi)部消息。

該 GitHub 存儲(chǔ)庫(kù)提供了用于圖像識(shí)別的開(kāi)源代碼和 AI 模型，訪問(wèn)者被要求從 Azure 存儲(chǔ) URL 下載模型。然而，Wiz 發(fā)現(xiàn)該 URL 被配置為授予整個(gè)存儲(chǔ)賬戶(hù)的權(quán)限，從而錯(cuò)誤地暴露了其他私人數(shù)據(jù)。

據(jù)稱(chēng)，涉事 URL 自 2020 年起就暴露了這些數(shù)據(jù)，該 URL 也被錯(cuò)誤配置為允許“完全控制”而不是“只讀”權(quán)限，這意味著任何知道在哪里查看的人都可能刪除、替換和注入惡意內(nèi)容進(jìn)入其中。

Wiz 表示它已經(jīng)于 6 月 22 日向微軟報(bào)告了這一問(wèn)題，兩天后的 6 月 24 日，微軟宣布撤銷(xiāo) SAS 令牌。微軟表示，它于 8 月 16 日完成了對(duì)潛在組織影響的調(diào)查。

整個(gè)事件的具體時(shí)間線(xiàn)如下：

· 2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub；到期日定為 2021 年 10 月 5 日

· 2021 年 10 月 6 日- SAS 令牌到期日更新為 2051 年 10 月 6 日

· 2023 年 6 月 22 日- Wiz Research 發(fā)現(xiàn)問(wèn)題并向微軟報(bào)告

· 2023 年 6 月 24 日- 微軟宣布 SAS 令牌失效

· 2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替換

· 2023 年 8 月 16 日- 微軟完成對(duì)潛在影響的內(nèi)部調(diào)查

· 2023 年 9 月 18 日- Wiz Research 公開(kāi)披露此事