微软人工智能研究人员泄露38TB私人数据

微软不小心通过GitHub公共存储库泄露了大量敏感的内部信息，这些信息可以追溯到三年多前。

云安全公司Wiz在发现属于微软人工智能研究部门的GitHub存储库robust-models-transfer时发现了隐私问题。

虽然存储库只是为了提供对开源代码和图像识别人工智能模型的访问，但Azure存储URL实际上被错误地配置为授予整个帐户的权限。

Wiz说：“我们的扫描显示，这个账户包含了38TB的额外数据，包括微软员工的个人电脑备份。这些备份包含敏感的个人数据，包括微软服务的密码、密钥，以及359名微软员工的3万多条微软团队内部信息。”

除了过于宽松的访问范围外，该令牌还被错误地配置为允许完全控制权限而不是只读权限。这意味着，攻击者不仅可以查看存储帐户中的所有文件，还可以删除和覆盖现有文件。

这个问题似乎源于微软使用的共享访问签名(SAS)令牌，这是一个授权用户访问Azure存储数据的签名URL。

这是一个灵活的工具，允许用户进行高度定制，允许从只读到完全控制的权限和有效设置为永久的过期时间。此次事件中的原始SAS代币于2020年7月首次提交给GitHub，其到期日于2021年10月更新至30年后。

在Wiz报告了这一事件后，微软宣布令牌无效并替换了它。

微软表示，虽然它扫描了面向公众的存储库中的帐户，但Wiz发现的特定SAS URL被错误地标记为假阳性。

这家科技巨头在一篇解释SAS最佳实践的博客文章中表示:“没有客户数据被泄露，也没有其他内部服务因为这个问题而面临风险。客户不需要对这个问题采取任何行动。”

然而，Wiz警告说：“SAS令牌代表着持续的风险。由于缺乏监控和治理，SAS令牌构成了安全风险，它们的使用应该尽可能受到限制。这些令牌很难跟踪，因为微软没有在Azure门户中提供集中的方式来管理它们。”

此外，这些令牌可以配置为永久有效，没有到期时间上限。因此，使用Account SAS令牌进行外部共享是不安全的，应该避免使用。”