17611538698
webmaster@21cto.com

微软AI研究人员意外泄露38TB内部数据,包括私钥、密码

资讯 0 611 2023-09-19 10:05:12

话说 9月18号,一名微软员工在 GitHub 上发布一桶开源 AI 训练数据时,意外泄露了 38 TB 的私人数据,Wiz 安全研究人员发现了该泄露帐户并将其报告给了这家 Windows 软件巨头。

图片

微软在周一的一篇文章中淡化了这一消息,并表示这只是“分享经验的教训”,后面会帮助客户避免犯类似的错误。发现问题的 Wiz 声称泄漏的数据桶包含私钥、密码和超过 30,000 条内部 Microsoft Teams 消息,以及来自两位员工的工作站的备份数据。

微软安全响应中心团队表示:“没有发现客户数据被泄露,也没有其它内部服务因这个问题而面临风险。客户无需针对此问题采取任何行动。”

在周一发布的报告中,Wiz 研究人员 Hillai Ben-Sasson 和 Ronny Greenberg 详细介绍了发生的情况。当他们扫描配置错误的存储容器时,他们发现了属于 Microsoft AI 研究团队的 GitHub 存储库,该存储库提供用于图像识别的开源代码与机器学习模型。


图片

图片


此存储库包含一个 URL,该 URL 有过于宽松的共享访问签名 (SAS) 令牌,用于微软的包含私有数据的内部 Azure 存储帐户。

SAS令牌是一个签名 URL,授予对 Azure 存储资源的某种级别的访问权限。用户可以自定义访问级别,从只读到完全控制,在这种情况下,SAS 令牌被错误配置为具有完全控制权限。

这不仅使 Wiz 团队以及可能更邪恶的窥探者能够查看存储帐户中的所有数据,而且他们还可以删除或更改现有文件。

Ben-Sasson 和 Greenberg 表示:“根据我们的扫描显示,该帐户包含 38TB 的数据,其中包括微软员工的个人电脑备份。” “这些备份包含敏感的个人数据,包括微软服务的密码、密钥以及来自 359 名微软员工的 30,000 多条内部 Microsoft Teams 消息。”

据称,涉事 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。

微软则表示,个人电脑备份属于这两名前员工。在 6 月 22 日收到有关泄露的通知后,该公司表示已撤销 SAS 令牌,以防止任何外部访问存储帐户,并于 6 月 24 日彻底堵住了漏洞。 

微软安全响应团队报告称:“随后公司进行了额外调查,以了解对我们的客户和/或业务连续性的任何潜在影响。” “我们的调查得出的结论是,此次暴露不会给客户带来任何风险。”

在文章中,微软还推荐了 SAS 的一系列最佳实践,以最大限度地降低过度宽松令牌的风险。这包括将 URL 的范围限制为所需的最小资源集合,并将权限限制为仅应用程序所需资源。

还有一项功能增加,将允许用户设置过期时间,微软建议 SAS URL 设置一小时或更短时间。

这些对于很多公司的安全都是很好的建议,只是遗憾的是微软同学在这种情况下没有吃自己的狗粮。

最后微软承诺道:“我们还在不断改进检测和扫描工具集,以主动识别此类过度配置 SAS URL 的情况,并加强默认的安全态势。”

作者:场长


评论