微软意外地泄露了38TB的私人数据 | ENBLE

Microsoft accidentally leaked 38TB of private data | ENBLE

微软的研究人员意外地将38TB的机密信息泄露到了公司的GitHub页面上，潜在地任何人都可以看到。这些数据包括两位前员工工作站的备份，其中包含了密钥、密码、秘密以及超过30,000条私人Teams消息。

根据云安全公司Wiz的说法，这个泄露事件发生在微软的人工智能（AI）GitHub仓库中，并且被意外地包含在一批开源训练数据中。这意味着访问者被鼓励下载它，也就意味着它可能一次又一次地落入错误的人手中。

数据泄露可能来自各种来源，但对微软来说，这个泄露事件尤其尴尬，因为它起源于自己的AI研究人员。Wiz的报告指出，微软使用了Azure功能中的共享访问签名（SAS）令牌上传了这些数据，这个功能允许用户通过Azure存储账户分享数据。

访问仓库的人被告知从提供的URL下载训练数据。然而，这个网址授予了访问远比计划的训练数据更多的权限，允许用户浏览本不应该公开访问的文件和文件夹。

更糟糕的是，Wiz报告称，授权访问令牌的配置错误，提供了完全控制的权限，而不是更严格的只读权限。实际上，这意味着访问该URL的任何人都可以删除和覆盖他们找到的文件，而不仅仅是查看。

Wiz解释说，这可能会产生严重后果。由于仓库中充满了AI训练数据，原本的意图是让用户下载并将其输入脚本中，从而改进自己的AI模型。

然而，由于错误配置权限导致它可以被操纵，“攻击者可以向这个存储账户中的所有AI模型注入恶意代码，信任微软的GitHub仓库的每个用户都将被感染，”Wiz解释道。

该报告还指出，创建SAS令牌（授予对Azure存储文件夹的访问权限，比如这个仓库）不会留下任何记录，这意味着“管理员无法知道该令牌的存在和流通情况。”当像这个令牌一样拥有完全访问权限时，结果可能是灾难性的。

幸运的是，Wiz解释说他们在2023年6月向微软报告了这个问题。泄露的SAS令牌在7月被替换，微软在8月完成了内部调查。这个安全失误直到现在才向公众报告，以便有足够的时间进行修复。

这是一个提醒，即使看似无害的行为也有可能导致数据泄露。幸运的是，这个问题已经修补，但不知道黑客在移除之前是否获得了任何敏感用户数据的访问权限。