Microsoft通过不安全的Azure存储 导致泄露38TB的私人数据

　　从2020年7月开始，微软人工智能研究部门在向公共GitHub存储库提供开源人工智能学习模型时，意外泄露了数十TB的敏感数据。

　　大约三年后，云安全公司Wiz发现了这一点，其安全研究人员发现，一名微软员工无意中共享了一个配置错误的Azure Blob存储桶的URL，该存储桶包含泄露的信息。

　　微软将数据泄露与使用过度许可的共享访问签名（SAS）令牌联系起来，该令牌允许对共享文件进行完全控制。这项Azure功能以一种被Wiz研究人员描述为难以监控和撤销的方式实现数据共享。

　　如果使用正确，共享访问签名（SAS）令牌提供了一种安全的方式，可以授予对存储帐户中资源的委派访问权限。

　　这包括对客户端数据访问的精确控制，指定他们可以交互的资源，定义他们对这些资源的权限，以及确定SAS令牌的有效期。

　　Wiz今天警告说：“由于缺乏监控和治理，SAS代币存在安全风险，其使用应尽可能有限。这些代币很难跟踪，因为微软没有在Azure门户网站内提供集中的管理方式。”

　　“此外，这些代币可以配置为永久有效，到期时间没有上限。因此，使用帐户SAS代币进行外部共享是不安全的，应该避免。”

　　通过Azure存储桶暴露的38TB私人数据

　　Wiz研究小组发现，除了开源模型之外，内部存储帐户还无意中允许访问价值38TB的额外私人数据。

　　暴露的数据包括微软员工的个人信息备份，包括微软服务的密码、密钥，以及来自359名微软员工的30000多条微软团队内部消息的存档。

　　在微软安全响应中心（MSRC）团队周一发布的一份公告中，微软表示，没有客户数据被泄露，也没有其他内部服务因该事件而面临危险。

　　Wiz于2023年6月22日向MSRC报告了这一事件，MSRC撤销了SAS令牌，以阻止对Azure存储帐户的所有外部访问，从而于2021年6月24日缓解了这一问题。

　　Wiz首席技术官兼联合创始人Ami Luttwak告诉BleepingComputer：“人工智能为科技公司释放了巨大的潜力。然而，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们处理的大量数据需要额外的安全检查和保障。”。

　　“这项新兴技术需要大量数据进行培训。由于许多开发团队需要操纵大量数据，与同行共享或在公共开源项目上进行合作，像微软这样的案例越来越难以监控和避免。”

　　BleepingComputer一年前还报告称，2022年9月，威胁情报公司SOCRadar发现了另一个属于微软的配置错误的Azure Blob存储桶，其中包含存储在2017年至2022年8月的文件中的敏感数据，与来自111个国家的65000多个实体有关联。

　　SOCRadar还创建了一个名为BlueBleed的数据泄露搜索门户网站，使公司能够查明其敏感数据是否在网上泄露。

　　微软后来补充说，它认为SOCRadar“大大夸大了这个问题的范围和数字”。

免责声明：本文内容来源于第三方或整理自互联网，本站仅提供展示，不拥有所有权，不代表本站观点立场，也不构成任何其他建议，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容,不承担相关法律责任。如发现本站文章、图片等内容有涉及版权/违法违规或其他不适合的内容， 请及时联系我们进行处理。