微软AI 38TB数据泄露
2023-9-20 11:55:0 Author: www.4hou.com(查看原文) 阅读量:15 收藏

导语:​微软AI研究部门在发布开源模型时意外泄露38 TB训练数据。

微软AI研究部门在发布开源模型时意外泄露38 TB训练数据。

事件分析

近日,云安全公司Wiz研究人员发布了关于微软人工智能研究部门员工意外泄露38 TB数据的研究报告。报告称微软员工在发布开源训练数据时,意外分享了一个包含有泄露的信息的错误配置的Azure Blob存储桶(storage bucket)的URL,其中包含38 TB的人工智能训练数据,这些数据本身是用作迁移学习训练的。

image.png

数据泄露的原因是使用了权限过大的Shared Access Signature (SAS) token。SAS token可以用于Storage的访问权限设置,可以实现对分享的文件的完全控制。SAS token正确使用可以对存储资源提供一种安全的授权访问方式。其中包括对客户端数据访问的精准控制,指定可以交互的资源,定义与资源相关的权限,确定SAS token的有效时间。

image.png 

SAS token很难监控,因为微软并未在Azure中提供一种中心化的管理方式。由于缺乏监控和管理,SAS token也会带来安全风险。因此需要对其的使用需要尽可能地限制。此外,token还可以被配置为永久有效,因此使用账户SAS token进行外部分享是不安全的。

image.png

暴露的数据包括微软员工的个人信息备份,包括微软服务的密码、安全密钥、来自359名微软员工的超过3万条Teams消息。

image.png

image.png 

9月18日,微软称没有客户数据暴露,该安全事件也不影响其他内部服务。

时间轴

该安全事件的时间轴如下:

2020年7月20日,SAS token首次提交到GitHub,过期时间设定为2021年10月5日;

2021年10月6日,SAS token过期更新为2051年10月6日;

2023年6月22日,wiz研究人员将该问题报告给微软;

2023年6月24日,SAS token被微软设置为无效状态;

2023年7月7日,GitHub上的SAS token被替换;

2023年8月16日,微软完成内部调查;

2023年9月18日,wiz公开研究报告内容。

完整技术报告参见:https://www.wiz.io/blog/38-terabytes-of-private-data-accidentally-exposed-by-microsoft-ai-researchers

本文翻译自:https://www.bleepingcomputer.com/news/microsoft/microsoft-leaks-38tb-of-private-data-via-unsecured-azure-storage/如若转载,请注明原文地址

  • 分享至

取消 嘶吼

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟


文章来源: https://www.4hou.com/posts/YYRK
如有侵权请联系:admin#unsafe.sh