关注我们，学习更多隐私合规讯息

该发言人表示：“这个问题是根据协调的漏洞披露负责任地报告的，并且已经得到解决。” “我们已经确认没有客户数据被泄露，也没有其他内部服务面临风险。”

该发言人向 Recorded Future News 推荐了一篇关于该问题的博客文章，该文章解释了一名 Microsoft 员工如何在公共 GitHub 存储库中共享 URL，同时为开源 AI 学习模型做出贡献。

“此 URL 包含一个过于宽松的内部存储帐户共享访问签名 (SAS) 令牌。Wiz 的安全研究人员随后能够使用该令牌访问存储帐户中的信息。”微软官员表示。

“该存储帐户中暴露的数据包括两名前员工工作站配置文件的备份以及这两名员工及其同事的内部 Microsoft Teams 消息。”

Microsoft 和 Wiz 均将问题归咎于 SAS 令牌，SAS 令牌是一项 Azure 功能，允许用户从 Azure 存储帐户共享数据。

微软表示，这些令牌提供了一种限制数据访问的机制，同时允许某些客户端连接到指定的 Azure 存储资源。

Wiz 联合创始人 Ami Luttwak 告诉 Recorded Future News，这一事件是企业急于部署人工智能系统时需要谨慎行事的一个例子。

“随着数据科学家和工程师竞相将新的人工智能解决方案投入生产，他们处理的大量数据需要额外的安全检查和保障措施。Wiz 的最新研究发现是专注于 AI 安全的更广泛的公司计划的一部分，它体现了 AI 挑战：这种新兴技术需要大量数据进行训练，”Luttwak 说。

“由于许多开发团队需要操纵大量数据、与同行共享数据或在公共开源项目上进行协作，像微软这样的情况越来越难以监控和避免。”

Wiz关于该问题的博客文章称，研究人员能够使用暴露的 SAS 令牌访问两名员工工作站的磁盘备份，其中包括来自 359 名微软员工的“秘密、私钥、密码和超过 30,000 条内部 Microsoft Teams 消息”。

该问题于 6 月 22 日向微软报告，微软于 8 月 16 日完成调查。

该博客重点关注两个问题：训练 AI 模型所需的数据过度共享以及使用 SAS 代币的复杂性。

该公司最初在扫描互联网上是否存在配置错误的存储容器时发现了该问题。他们在微软组织下找到了一个名为“robust-models-transfer”的 GitHub 存储库。

研究人员解释说，该存储库属于微软人工智能研究部门，其目的是为图像识别提供开源代码和人工智能模型。有权访问存储库的人被告知从 Azure 存储 URL 下载模型，但它被配置为授予整个存储帐户的权限，从而错误地暴露了其他私有数据。

Wiz 认为，该令牌配置错误，任何人不仅可以查看帐户中的文件，还可以删除或覆盖它们。

研究人员表示：“攻击者可能已将恶意代码注入到该存储帐户中的所有人工智能模型中，而每个信任微软 GitHub 存储库的用户都会受到它的感染。”

“但是，需要注意的是，这个存储帐户并未直接向公众公开；事实上，这是一个私人存储帐户。”

这篇文章深入探讨了对于 Azure 存储系统政策宽松的组织来说，高度宽松的非过期 SAS 令牌是一个多么大的问题。Wiz 指出，撤销代币并不容易。

“这些独特的陷阱使该服务成为寻找暴露数据的攻击者的简单目标。除了意外暴露的风险之外，该服务的缺陷使其成为攻击者寻求维持受损存储帐户持久性的有效工具。”Wiz 研究人员表示。

“微软最近的一份报告表明，攻击者正在利用该服务缺乏监控功能来发行特权 SAS 令牌作为后门。由于代币的发行没有任何记录，因此无法知道它是否已发行并对其采取行动。”

他们的研究发现，组织“经常使用生命周期很长（有时是无限）的代币，因为代币的有效期没有上限。” 在周一发现的情况下，该代币的有效期至 2051 年。

Wiz 表示，没有官方方法可以跟踪 Azure 中的代币或监控它们的发行方式。

研究人员表示，使用 Account SAS 代币进行外部共享是不安全的，应该避免。

*文章来源：therecord.media

*原标题：Microsoft accidentally exposed 38 terabytes of data from employee workstations

*整理编辑：A隐小私(yinxiaosi00)

想了解IAPP哪个证书适合你？

全套资料长按扫码领取