9月18日,Wiz研究团队披露称,微软的AI研究团队在GitHub上发布一批开源训练数据时,意外泄露了38TB敏感数据,其中包括两名微软员工工作站的磁盘备份(内含私钥、密码等,以及超过30000条员工之间的Microsoft Teams消息)。
根据Wiz Research的官网博客,其在扫描互联网查找配置错误的存储库的过程中,发现了一个属于微软AI研究部门的存储库,该存储库用于为图像识别提供开源代码及AI模型,并提供了一个从Azure存储库下载模型的URL链接。然而,此URL不仅允许访问开源模型,它还授予了对整个存储账户的权限,因而错误地公开了其他微软专用数据。据了解,此事故是由一个配置错误的对微软内部Azure存储账户的共享访问签名(SAS)令牌引起的。SAS令牌是一种签名URL,能够授予对Azure存储资源的某种访问级别。从只读到完全控制,用户可以自定义访问级别。在本事件中,SAS令牌被错误地配置为具有完全控制权限。这使得Wiz研究团队以及潜在攻击者,不仅可以查看存储账户中的所有内容,还能够删除或更改现有文件。周一,微软安全应急响应中心(MSRC)针对此事发布了一则安全公告:微软表示,事件所涉及的磁盘备份属于两名前员工。在接到有关这次泄露的报告后,微软已经撤销了SAS令牌,以防止外部访问存储账户,并对该问题进行了修复。在进一步的调查中,微软得出结论,此事件并未泄露任何客户数据,也未因此问题而使其他内部服务面临风险,客户无需采取任何措施来应对此问题。在公告中,微软指出,SAS令牌能够用于限制客户端允许访问的资源、执行的操作、从哪个网络访问以及访问的时长等。在使用SAS令牌时,微软有以下建议:应用最小权限原则、使用短期SAS、谨慎处理SAS令牌、制定撤销计划、监控审计应用程序。编辑:左右里
资讯来源:Wiz Research、Microsoft
转载请注明出处和本文链接
网络黑产,指以互联网为媒介,以网络技术为主要手段,为计算机信息系统安全和网络空间管理秩序,甚至国家安全、社会政治稳定带来潜在威胁(重大安全隐患)的非法行为。例如非法数据交易产业。
文章来源: https://mp.weixin.qq.com/s?__biz=MjM5NTc2MDYxMw==&mid=2458518247&idx=2&sn=fb912ff9f1275ab4df12837f01479a6e&chksm=b18d326d86fabb7bb68f14b2cc094f5c2a9dcfd35e25934414d35be749241508b5b63b202be6&scene=58&subscene=0#rd
如有侵权请联系:admin#unsafe.sh