微軟Azure意外泄露 38TB 敏感數(shù)據(jù)
2023年09月19日
據(jù)BleepingComputer消息�,云安全公司 Wiz 近期披露,微軟人工智能研究部門在向公共 GitHub 存儲(chǔ)庫(kù)貢獻(xiàn)開(kāi)源人工智能學(xué)習(xí)模型時(shí)意外泄露了38 TB 的敏感數(shù)據(jù)�。
Wiz 的安全研究人員發(fā)現(xiàn),一名微軟員工無(wú)意中共享了因配置錯(cuò)誤而泄露敏感信息的 Azure Blob 存儲(chǔ)桶URL�。
微軟認(rèn)為這是由于使用過(guò)于寬松的共享訪問(wèn)簽名(SAS)令牌,該令牌能對(duì)共享文件進(jìn)行完全的控制�,進(jìn)而能以不可監(jiān)控和撤銷的方式進(jìn)行數(shù)據(jù)共享。Wiz的研究人員警告稱����,由于缺乏監(jiān)控和治理�,SAS 令牌存在安全風(fēng)險(xiǎn)�,應(yīng)盡可能限制其使用,由于微軟沒(méi)有提供在 Azure中集中管理的方式���,這些令牌非常難以跟蹤。
Wiz發(fā)現(xiàn)����,泄露的信息包括屬于微軟員工的個(gè)人信息備份、微軟服務(wù)密碼以及來(lái)自 359 名 微軟員工共計(jì) 3萬(wàn)多條內(nèi)部 Microsoft Teams 消息的存檔����。
在9月18日發(fā)布的一份通報(bào)中,微軟安全響應(yīng)中心(MSRC)團(tuán)隊(duì)表示沒(méi)有客戶數(shù)據(jù)被泄露�����,也沒(méi)有其他內(nèi)部服務(wù)因此次事件而面臨危險(xiǎn)���。
Wiz 于 2023 年 6 月 22 日向 MSRC 報(bào)告了該事件�����,MSRC 撤銷了 SAS 令牌以阻止對(duì) Azure 存儲(chǔ)帳戶的所有外部訪問(wèn)�����,從而于 2023 年 6 月 24 日緩解了該問(wèn)題���。
Wiz 首席技術(shù)官兼聯(lián)合創(chuàng)始人 Ami Luttwak 向BleepingComputer表示���,人工智能為科技公司釋放了巨大的潛力。然而����,隨著數(shù)據(jù)科學(xué)家和工程師競(jìng)相將新的人工智能解決方案投入生產(chǎn),他們處理的大量數(shù)據(jù)需要額外的安全檢查和保障措施�����。
就在1年前�,2022 年 9 月,威脅情報(bào)公司 SOCRadar發(fā)現(xiàn)了另一個(gè)微軟配置錯(cuò)誤的 Azure Blob 存儲(chǔ)桶����,其中包含存儲(chǔ)在 2017 年至 2022 年 8 月文件中的敏感數(shù)據(jù),這些數(shù)據(jù)與來(lái)自全球 111 個(gè)國(guó)家和地區(qū)的 65000 多個(gè)實(shí)體存在關(guān)聯(lián)�。
來(lái)源:FreeBuf.COM
