微软AI研究员不慎泄露38TB 数据,内含密钥、密码和内部消息等
2023-9-19 17:45:56 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

 聚焦源代码安全,网罗国内外最新资讯!

编译:代码卫士

由微软离职软件工程师创建的云数据安全创业公司Wiz 公司指出,微软AI研究员在GitHub 上开展例行的开源AI训练材料更新时,不慎暴露了38TB 私密数据。

被暴露的数据包括两名员工的工作站、企业机密、私钥、密码和超过3万条微软Teams 内部消息的磁盘备份。Wiz 公司是在例行扫描配置不当的存储容器时发现的,“我们发现属于微软的一个 GitHub 仓库robust-models-transfer,它是微软AI研发团队所有,目的是为图片识别提供开源代码和AI模型。”

微软在分享文件时,使用了一个Azure 特性 SAS 令牌,可使数据在 Azure Storage 账户之间共享。虽然该访问权限级别仅限于特定的文件,但Wiz 发现该链接被配置为分享整个Storage 账户,其中包括38TB的私密文件。Wiz 公司提到,“通过该URL 不仅可访问开源模型。它配置为具有整个存储账户的访问权限,从而不慎暴露了其它私密数据。我们扫描发现,该账户中包含38TB 其它数据,如微软员工的个人计算机备份等。这些备份中包含敏感的个人数据如微软服务的密码、机密密钥、以及来自359名微软员工的内部Teams 消息。”

除了这些超权限访问范围问题外,Wiz 还发现该令牌也存在配置不当问题,它允许“完全的控制”权限而不仅仅是只读权限,从而导致攻击者能够删除并覆写已有文件。

Wiz 提醒称,“攻击者本可将恶意代码注入到该存储账户下的所有AI模型中,信任微软 GitHub 仓库的每个用户将受到影响。”

该GitHub 的主要功能中也存在安全隐忧。该仓库的任务主要是提供AI训练模型,它的蓝图格式是 “ckpt”。该格式通过 Python 的 pickle 格式创建了广泛使用的 TensforFlow 和 sculpted。Wiz 注意到该格式可成为任意代码执行的关口。

Wiz 指出,微软安全响应团队在今年6月份收到报告的两天内,将SAS 令牌调整为无效。一个月后,微软在 GitHub 上替换了该令牌。

代码卫士试用地址:https://codesafe.qianxin.com
开源卫士试用地址:https://oss.qianxin.com

推荐阅读

微软发现ncurses 库中的多个漏洞,影响 Linux 和 macOS 系统

补丁星期二:微软、Adobe和Firefox纷纷修复已遭利用的 0day 漏洞

AI管道的十大常见风险

微软小娜存在漏洞 可让任何人更改 Win 10 计算机密码

原文链接

https://www.securityweek.com/microsoft-ai-researchers-expose-38tb-of-data-including-keys-passwords-and-internal-messages/

题图:Pixabay License

本文由奇安信编译,不代表奇安信观点。转载请注明“转自奇安信代码卫士 https://codesafe.qianxin.com”。

奇安信代码卫士 (codesafe)

国内首个专注于软件开发安全的产品线。

    觉得不错,就点个 “在看” 或 "” 吧~


文章来源: https://mp.weixin.qq.com/s?__biz=MzI2NTg4OTc5Nw==&mid=2247517693&idx=1&sn=fb8dc494552143cd9a12960a1dc2e5f7&chksm=ea94b497dde33d81e6b6c776f96e7d41c2ba27376d68ee3179498f9a436a3f0418163ad6bb22&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh