微软人工智能研究人员意外曝光多达数十TB的内部敏感数据

微软人工智能研究人员在GitHub上发布一个开源训练数据存储桶时，意外暴露了数十TB的敏感数据，其中包括私钥和密码。云安全初创公司Wiz在与TechCrunch分享的研究报告中称，它发现了一个属于微软人工智能研究部门的GitHub存储库，这是其正在进行的云托管数据意外暴露工作的一部分。

该GitHub存储库提供了用于图像识别的开源代码和人工智能模型，它指示读者从Azure存储的URL下载模型。然而，Wiz发现该URL被配置为授予整个存储账户的权限，从而错误地暴露了更多私人数据。

这些数据包括38TB的敏感信息，其中包括两名微软员工个人电脑的个人备份。这些数据还包含其他敏感的个人数据，包括微软服务的密码、密钥以及数百名微软员工的30000多条内部MicrosoftTeams消息。

据Wiz称，从2020年开始就暴露了这些数据的URL也被错误地配置为允许"完全控制"而非"只读"权限，这意味着任何知道在哪里查看的人都有可能删除、替换和注入恶意内容。

Wiz指出，存储账户并没有直接暴露。相反，微软人工智能开发人员在URL中加入了一个过度许可的共享访问签名（SAS）令牌。SAS令牌是Azure使用的一种机制，它允许用户创建可共享的链接，授予对Azure存储账户数据的访问权限。

Wiz联合创始人兼首席技术官阿米-卢特瓦克（AmiLuttwak）介绍说："人工智能为科技公司释放了巨大的潜力。然而，随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们所处理的海量数据需要额外的安全检查和保护措施。由于许多开发团队需要处理海量数据、与同行共享数据或在公共开源项目上合作，像微软这样的案例越来越难以监控和避免。"

Wiz表示，它在6月22日与微软分享了调查结果，微软在两天后的6月24日撤销了SAS令牌。微软表示，它已于8月16日完成了对潜在组织影响的调查。

微软安全响应中心在发表前分享的一篇博文中说，"没有客户数据被暴露，也没有其他内部服务因为这个问题而面临风险"。

微软表示，根据Wiz的研究结果，它已经扩展了GitHub的秘密扫描服务，该服务可以监控所有公开开源代码的变更，以防明文暴露凭证和其他秘密，包括任何可能具有过度许可过期或权限的SAS令牌。