话说 9月18号，一名微软员工在 GitHub 上发布一桶开源 AI 训练数据时，意外泄露了 38 TB 的私人数据，Wiz 安全研究人员发现了该泄露帐户并将其报告给了这家 Windows 软件巨头。

微软在周一的一篇文章中淡化了这一消息，并表示这只是“分享经验的教训”，后面会帮助客户避免犯类似的错误。发现问题的 Wiz 声称泄漏的数据桶包含私钥、密码和超过 30,000 条内部 Microsoft Teams 消息，以及来自两位员工的工作站的备份数据。

微软安全响应中心团队表示：“没有发现客户数据被泄露，也没有其它内部服务因这个问题而面临风险。客户无需针对此问题采取任何行动。”

在周一发布的报告中，Wiz 研究人员 Hillai Ben-Sasson 和 Ronny Greenberg 详细介绍了发生的情况。当他们扫描配置错误的存储容器时，他们发现了属于 Microsoft AI 研究团队的 GitHub 存储库，该存储库提供用于图像识别的开源代码与机器学习模型。

此存储库包含一个 URL，该 URL 有过于宽松的共享访问签名 (SAS) 令牌，用于微软的包含私有数据的内部 Azure 存储帐户。

SAS令牌是一个签名 URL，授予对 Azure 存储资源的某种级别的访问权限。用户可以自定义访问级别，从只读到完全控制，在这种情况下，SAS 令牌被错误配置为具有完全控制权限。

这不仅使 Wiz 团队以及可能更邪恶的窥探者能够查看存储帐户中的所有数据，而且他们还可以删除或更改现有文件。

Ben-Sasson 和 Greenberg 表示：“根据我们的扫描显示，该帐户包含 38TB 的数据，其中包括微软员工的个人电脑备份。” “这些备份包含敏感的个人数据，包括微软服务的密码、密钥以及来自 359 名微软员工的 30,000 多条内部 Microsoft Teams 消息。”

据称，涉事 URL 自 2020 年起就暴露了这些数据，该 URL 也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。

微软则表示，个人电脑备份属于这两名前员工。在 6 月 22 日收到有关泄露的通知后，该公司表示已撤销 SAS 令牌，以防止任何外部访问存储帐户，并于 6 月 24 日彻底堵住了漏洞。 

微软安全响应团队报告称：“随后公司进行了额外调查，以了解对我们的客户和/或业务连续性的任何潜在影响。” “我们的调查得出的结论是，此次暴露不会给客户带来任何风险。”

在文章中，微软还推荐了 SAS 的一系列最佳实践，以最大限度地降低过度宽松令牌的风险。这包括将 URL 的范围限制为所需的最小资源集合，并将权限限制为仅应用程序所需资源。

还有一项功能增加，将允许用户设置过期时间，微软建议 SAS URL 设置一小时或更短时间。

这些对于很多公司的安全都是很好的建议，只是遗憾的是微软同学在这种情况下没有吃自己的狗粮。

最后微软承诺道：“我们还在不断改进检测和扫描工具集，以主动识别此类过度配置 SAS URL 的情况，并加强默认的安全态势。”

作者：场长