今天小編分享的互聯網經驗:微軟AI 38TB數據洩露,歡迎閱讀。
微軟 AI 研究部門在發布開源模型時意外洩露 38 TB 訓練數據。
事件分析
近日,雲安全公司 Wiz 研究人員發布了關于微軟人工智能研究部門員工意外洩露 38 TB 數據的研究報告。報告稱微軟員工在發布開源訓練數據時,意外分享了一個包含有洩露的信息的錯誤配置的 Azure Blob 存儲桶(storage bucket)的 URL,其中包含 38 TB 的人工智能訓練數據,這些數據本身是用作遷移學習訓練的。
數據洩露的原因是使用了權限過大的 Shared Access Signature ( SAS ) token。SAS token 可以用于 Storage 的訪問權限設定,可以實現對分享的檔案的完全控制。SAS token 正确使用可以對存儲資源提供一種安全的授權訪問方式。其中包括對客戶端數據訪問的精準控制,指定可以互動的資源,定義與資源相關的權限,确定 SAS token 的有效時間。
SAS token 很難監控,因為微軟并未在 Azure 中提供一種中心化的管理方式。由于缺乏監控和管理,SAS token 也會帶來安全風險。因此需要對其的使用需要盡可能地限制。此外,token 還可以被配置為永久有效,因此使用賬戶 SAS token 進行外部分享是不安全的。
暴露的數據包括微軟員工的個人信息備份,包括微軟服務的密碼、安全密鑰、來自 359 名微軟員工的超過 3 萬條 Teams 消息。
9 月 18 日,微軟稱沒有客戶數據暴露,該安全事件也不影響其他内部服務。
時間軸
該安全事件的時間軸如下:
2020 年 7 月 20 日,SAS token 首次提交到 GitHub,過期時間設定為 2021 年 10 月 5 日;
2021 年 10 月 6 日,SAS token 過期更新為 2051 年 10 月 6 日;
2023 年 6 月 22 日,wiz 研究人員将該問題報告給微軟;
2023 年 6 月 24 日,SAS token 被微軟設定為無效狀态;
2023 年 7 月 7 日,GitHub 上的 SAS token 被替換;
2023 年 8 月 16 日,微軟完成内部調查;
2023 年 9 月 18 日,wiz 公開研究報告内容。
完整技術報告參見:https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers
