微新創(chuàng)想(idea2003.com) 9月19日消息:微軟的人工智能研究員在 GitHub 上發(fā)布開(kāi)源訓(xùn)練數(shù)據(jù)存儲(chǔ)桶時(shí)，意外暴露了數(shù)十 TB 的敏感數(shù)據(jù)，包括私鑰和密碼。

云安全初創(chuàng)公司 Wiz 發(fā)現(xiàn)了這個(gè)屬于微軟 AI 研究部門(mén)的 GitHub 倉(cāng)庫(kù)，并將其作為其持續(xù)進(jìn)行的云托管數(shù)據(jù)意外曝光工作的一部分分享給 TechCrunch。

該 GitHub 倉(cāng)庫(kù)提供了用于圖像識(shí)別的開(kāi)源代碼和 AI 模型，要求讀者從 Azure Storage URL 下載模型。然而，Wiz 發(fā)現(xiàn)該 URL 配置為授予整個(gè)存儲(chǔ)賬戶(hù)權(quán)限，因此錯(cuò)誤地公開(kāi)了其他私密數(shù)據(jù)。

這些數(shù)據(jù)包括 38TB 敏感信息，其中包括兩名微軟員工個(gè)人電腦備份文件、Microsoft 服務(wù)密碼、秘密密鑰以及來(lái)自數(shù)百名微軟員工的超過(guò) 30,000 條內(nèi)部 Microsoft Teams 消息等其他敏感個(gè)人信息。

根據(jù) Wiz 所說(shuō)，「full control」而非「read-only」權(quán)限被誤配置到該 URL 中。這意味著任何知道如何查找它們的人都可能刪除、替換或注入惡意內(nèi)容。

Wiz 指出存儲(chǔ)賬戶(hù)并未直接暴露。相反，在 URL 中加入一個(gè)過(guò)度寬松共享訪問(wèn)簽名 (SAS) token 是導(dǎo)致泄漏的原因。SAS token 是 Azure 使用的一種機(jī)制，允許用戶(hù)創(chuàng)建可共享鏈接以授予對(duì) Azure 存儲(chǔ)賬戶(hù)數(shù)據(jù)的訪問(wèn)權(quán)限。

Wiz 表示已于 6 月 22 日與微軟分享了其發(fā)現(xiàn)，并于兩天后在 6 月 24 日吊銷(xiāo)了 SAS token。微軟稱(chēng)已于 8 月 16 日完成了對(duì)潛在組織影響的調(diào)查。

Microsoft 安全響應(yīng)中心在發(fā)布給 TechCrunch 之前的博客文章中表示，「沒(méi)有暴露任何客戶(hù)數(shù)據(jù)，也沒(méi)有因此問(wèn)題而使其他內(nèi)部服務(wù)面臨風(fēng)險(xiǎn)。」

微軟表示，由于 Wiz 的研究，它已經(jīng)擴(kuò)展了 GitHub 的秘密掃描服務(wù)，該服務(wù)可以監(jiān)控所有公開(kāi)源代碼的更改，以防明文暴露憑證和其他秘密，包括任何可能具有過(guò)度許可過(guò)期或權(quán)限的 SAS token。