微软意外地泄露了38TB的私人数据 | ENBLE
Microsoft accidentally leaked 38TB of private data | ENBLE
微软的研究人员意外地将38TB的机密信息泄露到了公司的GitHub页面上,潜在地任何人都可以看到。这些数据包括两位前员工工作站的备份,其中包含了密钥、密码、秘密以及超过30,000条私人Teams消息。
根据云安全公司Wiz的说法,这个泄露事件发生在微软的人工智能(AI)GitHub仓库中,并且被意外地包含在一批开源训练数据中。这意味着访问者被鼓励下载它,也就意味着它可能一次又一次地落入错误的人手中。
![](https://www.digitaltrends.com/wp-content/uploads/2023/09/Security-breach-warning-padlock.jpg?fit=720%2C480&p=1)
数据泄露可能来自各种来源,但对微软来说,这个泄露事件尤其尴尬,因为它起源于自己的AI研究人员。Wiz的报告指出,微软使用了Azure功能中的共享访问签名(SAS)令牌上传了这些数据,这个功能允许用户通过Azure存储账户分享数据。
访问仓库的人被告知从提供的URL下载训练数据。然而,这个网址授予了访问远比计划的训练数据更多的权限,允许用户浏览本不应该公开访问的文件和文件夹。
完全控制
![](https://www.digitaltrends.com/wp-content/uploads/2023/04/Malware-antivirus-laptop-hacker-Sora-Shimazaki.jpg?fit=720%2C480&p=1)
更糟糕的是,Wiz报告称,授权访问令牌的配置错误,提供了完全控制的权限,而不是更严格的只读权限。实际上,这意味着访问该URL的任何人都可以删除和覆盖他们找到的文件,而不仅仅是查看。
- 准备好迎接能够帮你完成繁琐任务的 AI 聊天机器人
- Panos Panay辞去微软职务即将到来的Surface活动是否面临麻烦?
- Brother MFC-J1205W:一款紧凑型家庭商用打印机 | ENBLE
Wiz解释说,这可能会产生严重后果。由于仓库中充满了AI训练数据,原本的意图是让用户下载并将其输入脚本中,从而改进自己的AI模型。
然而,由于错误配置权限导致它可以被操纵,“攻击者可以向这个存储账户中的所有AI模型注入恶意代码,信任微软的GitHub仓库的每个用户都将被感染,”Wiz解释道。
潜在的灾难
![](https://www.digitaltrends.com/wp-content/uploads/2020/07/image_treatment_hacker_laptop-v3_200717.jpg?fit=720%2C479&p=1)
该报告还指出,创建SAS令牌(授予对Azure存储文件夹的访问权限,比如这个仓库)不会留下任何记录,这意味着“管理员无法知道该令牌的存在和流通情况。”当像这个令牌一样拥有完全访问权限时,结果可能是灾难性的。
幸运的是,Wiz解释说他们在2023年6月向微软报告了这个问题。泄露的SAS令牌在7月被替换,微软在8月完成了内部调查。这个安全失误直到现在才向公众报告,以便有足够的时间进行修复。
这是一个提醒,即使看似无害的行为也有可能导致数据泄露。幸运的是,这个问题已经修补,但不知道黑客在移除之前是否获得了任何敏感用户数据的访问权限。