Microsoft AI研究部门在GitHub上意外暴露38TB敏感数据

【沃通WoTrus安全资讯站】据网络安全公司Wiz发现，Microsoft AI研究部门在GitHub上发布大量开源训练数据时意外泄露了38TB的敏感数据。

暴露的数据暴露了两名员工工作站的磁盘备份，其中包含机密、私钥、密码和超过 30,000 条内部 Microsoft Teams 消息。

“研究人员使用名为SAS令牌的Azure功能共享他们的文件，该功能允许你共享来自Azure存储帐户的数据。访问级别只能限制为特定文件;但是，在本例中，链接配置为共享整个存储帐户，包括另外 38TB 的专用文件。

Wiz 研究团队在扫描互联网以查找配置错误的存储容器时发现了该存储库，这些容器暴露了云托管数据。专家们在GitHub上找到了一个名为robust-models-transfer Microsoft组织的存储库。

该存储库属于Microsoft的AI研究部门，该部门使用它为图像识别提供开源代码和AI模型。Microsoft人工智能研究团队于 2020 年 7 月开始发布数据。

Microsoft使用 Azure SAS 令牌来共享存储在其研究团队使用的 Azure 存储帐户中的数据。

用于访问存储库的 Azure 存储签名 URL 被错误地配置为授予对整个存储帐户的权限，从而公开了专用数据。

“但是，此URL允许访问的不仅仅是开源模型。它被配置为授予对整个存储帐户的权限，错误地暴露了其他私有数据。“共享AI数据集的简单步骤导致了重大数据泄漏，其中包含超过38TB的私人数据。根本原因是使用帐户 SAS 令牌作为共享机制。由于缺乏监控和治理，SAS令牌构成了安全风险，它们的使用应尽可能有限。Wiz指出，SAS令牌不容易跟踪，因为Microsoft没有提供在Azure门户中管理它们的集中方式。

Microsoft表示，数据线索没有暴露客户数据。“没有暴露任何客户数据，也没有其他内部服务因此问题而面临风险。不需要客户操作来响应此问题，“Microsoft发布的帖子中写道。

以下是此安全事件的时间表：

2020 年 7 月 20 日 – SAS 令牌首次提交到 GitHub；到期日设置为 2021 年 10 月 5 日

2021 年 10 月 6 日 – SAS 令牌到期日更新至 2051 年 10 月 6 日

2023 年 6 月 22 日 – Wiz Research 发现并向 MSRC 报告问题

2023 年 6 月 24 日 – SAS 令牌因 Microsoft 无效

2023 年 7 月 7 日 – GitHub 上替换了 SAS 令牌

2023 年 8 月 16 日 – Microsoft 完成对潜在影响的内部调查

2023 年 9 月 18 日 – 公开披露

声明：内容参考securityaffairs，版权归作者所有。文章内容仅代表作者独立观点，不代表本站立场，转载目的在于传递更多信息。如有侵权，请联系本站处理。