刚刚有消息称,微软研究人员意外地将 38TB 机密信息泄露到该公司的 GitHub 页面上,任何人都可能看到这些信息。数据宝库中有两名前员工工作站的备份,其中包含密钥、密码、机密以及 30,000 多条 Teams 私人消息。
据云安全公司 Wiz称,此次泄露事件发布在微软人工智能 (AI) GitHub 存储库上,并意外包含在一批开源训练数据中。这意味着访问者被鼓励下载它,这意味着它可能会一次又一次落入坏人之手。
数据泄露可能来自各种来源,但对于微软来说尤其尴尬的是,这一事件源自其自己的人工智能研究人员。 Wiz 报告指出,微软使用共享访问签名 (SAS) 令牌上传数据,这是一项 Azure 功能,允许用户通过 Azure 存储帐户共享数据。
存储库的访问者被告知从提供的 URL 下载训练数据。然而,该网址不仅允许访问计划的训练数据,还允许用户浏览不打算公开访问的文件和文件夹。
完全控制
情况变得更糟。 Wiz 报告称,允许这一切的访问令牌被错误配置为提供完全控制权限,而不是更具限制性的只读权限。实际上,这意味着访问该 URL 的任何人都可以删除和覆盖他们找到的文件,而不仅仅是查看它们。
维兹解释说,这可能会产生可怕的后果。由于该存储库充满了 人工智能训练数据,其目的是让用户下载它并将其输入脚本中,从而改进自己的人工智能模型。
然而,由于其权限配置错误,它很容易被操纵,“攻击者可能会将恶意代码注入到该存储帐户中的所有人工智能模型中,并且每个信任微软 GitHub 存储库的用户都会被它感染,”Wiz解释说。
潜在的灾难
该报告还指出,SAS 令牌的创建(授予对诸如此类的 Azure 存储文件夹的访问权限)不会创建任何类型的书面记录,这意味着“管理员无法知道该令牌的存在及其流通位置” ”。当令牌具有像这样的完全访问权限时,结果可能是灾难性的。
幸运的是,Wiz 解释说,它于 2023 年 6 月向微软报告了该问题。7 月更换了泄漏的 SAS 令牌,微软于 8 月完成了内部调查。安全漏洞刚刚向公众报告,以便有时间完全修复。
这提醒我们,即使看似无辜的行为也可能导致数据泄露。幸运的是,该问题已得到修复,但尚不清楚黑客是否在敏感用户数据被删除之前获得了访问权限。