微新創想(idea2003.com) 9月19日消息:微軟的人工智能研究員在 GitHub 上發布開源訓練數據存儲桶時，意外暴露了數十 TB 的敏感數據，包括私鑰和密碼。

云安全初創公司 Wiz 發現了這個屬于微軟 AI 研究部門的 GitHub 倉庫，并將其作為其持續進行的云托管數據意外曝光工作的一部分分享給 TechCrunch。

該 GitHub 倉庫提供了用于圖像識別的開源代碼和 AI 模型，要求讀者從 Azure Storage URL 下載模型。然而，Wiz 發現該 URL 配置為授予整個存儲賬戶權限，因此錯誤地公開了其他私密數據。

這些數據包括 38TB 敏感信息，其中包括兩名微軟員工個人電腦備份文件、Microsoft 服務密碼、秘密密鑰以及來自數百名微軟員工的超過 30,000 條內部 Microsoft Teams 消息等其他敏感個人信息。

根據 Wiz 所說，「full control」而非「read-only」權限被誤配置到該 URL 中。這意味著任何知道如何查找它們的人都可能刪除、替換或注入惡意內容。

Wiz 指出存儲賬戶并未直接暴露。相反，在 URL 中加入一個過度寬松共享訪問簽名 (SAS) token 是導致泄漏的原因。SAS token 是 Azure 使用的一種機制，允許用戶創建可共享鏈接以授予對 Azure 存儲賬戶數據的訪問權限。

Wiz 表示已于 6 月 22 日與微軟分享了其發現，并于兩天后在 6 月 24 日吊銷了 SAS token。微軟稱已于 8 月 16 日完成了對潛在組織影響的調查。

Microsoft 安全響應中心在發布給 TechCrunch 之前的博客文章中表示，「沒有暴露任何客戶數據，也沒有因此問題而使其他內部服務面臨風險。」

微軟表示，由于 Wiz 的研究，它已經擴展了 GitHub 的秘密掃描服務，該服務可以監控所有公開源代碼的更改，以防明文暴露憑證和其他秘密，包括任何可能具有過度許可過期或權限的 SAS token。