微软AI 38TB数据泄露
2023-9-21 15:53:27 Author: mp.weixin.qq.com(查看原文) 阅读量:3 收藏

微软AI研究部门在发布开源模型时意外泄露38 TB训练数据。

近日,云安全公司Wiz研究人员发布了关于微软人工智能研究部门员工意外泄露38 TB数据的研究报告。报告称微软员工在发布开源训练数据时,意外分享了一个包含有泄露的信息的错误配置的Azure Blob存储桶(storage bucket)的URL,其中包含38 TB的人工智能训练数据,这些数据本身是用作迁移学习训练的。

数据泄露的原因是使用了权限过大的Shared Access Signature (SAS) token。SAS token可以用于Storage的访问权限设置,可以实现对分享的文件的完全控制。SAS token正确使用可以对存储资源提供一种安全的授权访问方式。其中包括对客户端数据访问的精准控制,指定可以交互的资源,定义与资源相关的权限,确定SAS token的有效时间。

SAS token很难监控,因为微软并未在Azure中提供一种中心化的管理方式。由于缺乏监控和管理,SAS token也会带来安全风险。因此需要对其的使用需要尽可能地限制。此外,token还可以被配置为永久有效,因此使用账户SAS token进行外部分享是不安全的。

暴露的数据包括微软员工的个人信息备份,包括微软服务的密码、安全密钥、来自359名微软员工的超过3万条Teams消息。

9月18日,微软称没有客户数据暴露,该安全事件也不影响其他内部服务。

该安全事件的时间轴如下:

2020年7月20日,SAS token首次提交到GitHub,过期时间设定为2021年10月5日;

2021年10月6日,SAS token过期更新为2051年10月6日;

2023年6月22日,wiz研究人员将该问题报告给微软;

2023年6月24日,SAS token被微软设置为无效状态;

2023年7月7日,GitHub上的SAS token被替换;

2023年8月16日,微软完成内部调查;

2023年9月18日,wiz公开研究报告内容。

完整技术报告参见:

https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

参考及来源:

https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/

原文来源:嘶吼专业版
“投稿联系方式:孙中豪 010-82992251   [email protected]


文章来源: https://mp.weixin.qq.com/s?__biz=MzkyMzAwMDEyNg==&mid=2247539787&idx=3&sn=342337a8d5ef15225b809b3a1bd3883e&chksm=c1e9d01af69e590c6b130d1a5527f554cdd737566a2c7681154b87f7d74b808e2ee8610b42d1&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh