微软AI团队意外泄露了38TB的私人公司数据
Microsoft AI team accidentally leaked 38TB of private company data.
微软的AI研究人员犯了一个巨大的错误。
据云安全公司Wiz的最新报告称,微软的AI研究团队意外泄露了公司的38TB私人数据。
38TB,这是非常庞大的数据。
泄露的数据包括两名员工计算机的完整备份。这些备份包含敏感的个人数据,包括微软服务的密码、秘密密钥以及来自350多名微软员工的3万多条内部Microsoft Teams消息。
推文可能已被删除
那么,这是怎么发生的呢?报告解释说,微软的AI团队上传了一个包含开源代码和用于图像识别的AI模型的训练数据集。那些找到Github存储库的用户会得到一个链接,从微软的云存储服务Azure中下载这些模型。
问题是:微软的AI团队提供的链接给了访问者完全访问整个Azure存储帐户的权限。访问者不仅可以查看帐户中的所有内容,还可以上传、覆盖或删除文件。
Wiz表示,这是由Azure的一个名为Shared Access Signature (SAS) tokens的功能引起的,它是“授予访问Azure存储数据的签名URL”。SAS token可以设置访问哪个文件或文件的限制。然而,这个特定的链接被配置为具有完全访问权限。
根据Wiz的说法,更加严重的是,这些数据似乎自2020年以来就一直暴露着。
Wiz于今年6月22日联系了微软,向他们报告了这个发现。两天后,微软使SAS token失效,解决了这个问题。微软在8月进行了对潜在影响的调查并完成了调查。
微软向ENBLE提供了一份声明,声称“没有客户数据泄露,也没有因为这个问题而使其他内部服务面临风险。”
