当前位置:首页 > 合规类 > IAPP > 考试资讯 > 项目动态 >
2023-09-26 14:16:39
浏览量:0
关注我们,学习更多隐私合规讯息
前言
微软周一(2023/9/18)证实,一个错误导致 38 TB 的数据泄露,其中包括数百名员工的私钥、密码和 Microsoft Teams 内部消息。
这些泄露的数据是由安全公司 Wiz 的研究人员发现的,并于 6 月 22 日通知了该公司。
该发言人表示:“这个问题是根据协调的漏洞披露负责任地报告的,并且已经得到解决。” “我们已经确认没有客户数据被泄露,也没有其他内部服务面临风险。”
该发言人向 Recorded Future News 推荐了一篇关于该问题的博客文章,该文章解释了一名 Microsoft 员工如何在公共 GitHub 存储库中共享 URL,同时为开源 AI 学习模型做出贡献。
“此 URL 包含一个过于宽松的内部存储帐户共享访问签名 (SAS) 令牌。Wiz 的安全研究人员随后能够使用该令牌访问存储帐户中的信息。”微软官员表示。
“该存储帐户中暴露的数据包括两名前员工工作站配置文件的备份以及这两名员工及其同事的内部 Microsoft Teams 消息。”
Microsoft 和 Wiz 均将问题归咎于 SAS 令牌,SAS 令牌是一项 Azure 功能,允许用户从 Azure 存储帐户共享数据。
微软表示,这些令牌提供了一种限制数据访问的机制,同时允许某些客户端连接到指定的 Azure 存储资源。
据微软称,一名研究人员在为开源人工智能学习模型做出贡献时“无意中包含了这个 SAS 令牌”。微软表示,SAS 令牌应该正确创建和管理,并补充说,它正在“不断改进,以进一步强化 SAS 令牌功能,并继续评估该服务,以增强我们的默认安全态势。”
微软在 6 月份得知 Wiz 的问题后,立即撤销了 SAS 令牌,并在 6 月 24 日之前阻止了对存储帐户的所有外部访问。随后的调查显示,这对客户没有风险,也没有漏洞被利用。
Wiz 联合创始人 Ami Luttwak 告诉 Recorded Future News,这一事件是企业急于部署人工智能系统时需要谨慎行事的一个例子。
“随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们处理的大量数据需要额外的安全检查和保障措施。Wiz 的最新研究发现是专注于 AI 安全的更广泛的公司计划的一部分,它体现了 AI 挑战:这种新兴技术需要大量数据进行训练,”Luttwak 说。
“由于许多开发团队需要操纵大量数据、与同行共享数据或在公共开源项目上进行协作,像微软这样的情况越来越难以监控和避免。”
有效期至 2051 年
Wiz关于该问题的博客文章称,研究人员能够使用暴露的 SAS 令牌访问两名员工工作站的磁盘备份,其中包括来自 359 名微软员工的“秘密、私钥、密码和超过 30,000 条内部 Microsoft Teams 消息”。
该问题于 6 月 22 日向微软报告,微软于 8 月 16 日完成调查。
该博客重点关注两个问题:训练 AI 模型所需的数据过度共享以及使用 SAS 代币的复杂性。
该公司最初在扫描互联网上是否存在配置错误的存储容器时发现了该问题。他们在微软组织下找到了一个名为“robust-models-transfer”的 GitHub 存储库。
研究人员解释说,该存储库属于微软人工智能研究部门,其目的是为图像识别提供开源代码和人工智能模型。有权访问存储库的人被告知从 Azure 存储 URL 下载模型,但它被配置为授予整个存储帐户的权限,从而错误地暴露了其他私有数据。
Wiz 认为,该令牌配置错误,任何人不仅可以查看帐户中的文件,还可以删除或覆盖它们。
研究人员表示:“攻击者可能已将恶意代码注入到该存储帐户中的所有人工智能模型中,而每个信任微软 GitHub 存储库的用户都会受到它的感染。”
“但是,需要注意的是,这个存储帐户并未直接向公众公开;事实上,这是一个私人存储帐户。”
这篇文章深入探讨了对于 Azure 存储系统政策宽松的组织来说,高度宽松的非过期 SAS 令牌是一个多么大的问题。Wiz 指出,撤销代币并不容易。
“这些独特的陷阱使该服务成为寻找暴露数据的攻击者的简单目标。除了意外暴露的风险之外,该服务的缺陷使其成为攻击者寻求维持受损存储帐户持久性的有效工具。”Wiz 研究人员表示。
“微软最近的一份报告表明,攻击者正在利用该服务缺乏监控功能来发行特权 SAS 令牌作为后门。由于代币的发行没有任何记录,因此无法知道它是否已发行并对其采取行动。”
他们的研究发现,组织“经常使用生命周期很长(有时是无限)的代币,因为代币的有效期没有上限。” 在周一发现的情况下,该代币的有效期至 2051 年。
Wiz 表示,没有官方方法可以跟踪 Azure 中的代币或监控它们的发行方式。
研究人员表示,使用 Account SAS 代币进行外部共享是不安全的,应该避免。
*文章来源:therecord.media
*原标题:Microsoft accidentally exposed 38 terabytes of data from employee workstations
*整理编辑:A隐小私(yinxiaosi00)
▼关注我们,最新考试政策/合规资讯抢先看▼
全套资料试听课在线试讲
如何轻松通过IAPP CIPP/E?分享我考CIPP/E的4个关键
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
数据合规零基础,仅用三个月456分通过 IAPP CIPP/E!!
IAPP CIPT备考经验:数据合规人士如何克服全英文CIPT考试?
真实分享:考IAPP CIPP/E诀窍是什么?分享四点备考要素及考后感想
独家分享 | CIPP新型学习法?建立GDPR树状图,阶段式备考重点
四证连过!只用半个月,如何同时通过IAPP CIPP/E+CIPT+CIPPUS+CIPM
往/期/回/顾
合规官与律师:有何区别?
快报!2023年隐私合规薪资调查报告新鲜出炉!隐私工作者平均基本工资增长10%!
CIPPE+CIPM双证到手!他如何在3个月内完美通过的?
什么是合规性?不同的合规岗位的职责是什么?
示例解说:数据保护原则:GDPR 7 项原则详解
数据合规有哪些岗位?列举3个重要的合规岗类型及职责
■ DEPTH
想了解IAPP哪个证书适合你?
全套资料长按扫码领取
全套资料试听课在线试讲
-End-
■ DEPTH
想知道IAPP哪个证书适合你吗?
资格评价可直接扫描码
免费评价/赠送一份国际隐私认证学习资料一份
感觉不错你就赞赞我吧!
点分享
点点赞
点在看
戳这个,领取IAPP备考资料包