微軟的AI研究團隊無意間暴露了驚人的38個個人數據,同時在Github上共享開源培訓數據,Engadget報告。
這些數據洩露,由網絡安全公司發現威茲,引起了人們對AI項目安全和處理敏感信息的擔憂。
發生了什麼
為了促進協作並為AI社區提供寶貴的資源,微軟的AI研究部決定將培訓數據上傳到Github上。
但是,這個看似高貴的手勢發生了意外的轉變。共享的文件中包含一個包含Microsoft員工計算機的備份的鏈接,無意間暴露了敏感信息的寶庫。
Wiz的研究人員很快發現了安全性,並將其報告給Microsoft2023年6月22日。暴露的數據不僅包括兩個前員工的工作站的備份,還包括密碼,秘密鍵以及來自數百名員工的30,000多個內部Microsoft團隊。
Azure的SAS令牌:罪魁禍首
這違反源於使用Azure的共享訪問簽名(SAS)令牌,該功能促進了對Azure存儲數據的受控訪問。
儘管SAS令牌提供了對數據訪問的細粒度控制,但在這種情況下,它們的配置錯誤導致了整個存儲帳戶的暴露。
微軟的研究人員無意間配置了令牌以共享完整的存儲帳戶,該帳戶應僅提供對特定文件的訪問。
這種監督暴露了預期的開源模型和大量的私人數據,包括敏感通信。
潛在風險和影響
該事件的嚴重性在於它帶來的潛在風險。如果惡意行為者發現了這種漏洞,他們本可以將有害代碼注射到存儲在受影響帳戶中的AI模型中,從而有可能影響信任Microsoft的GitHub存儲庫的用戶。
此外,這種違規是組織的警鐘,因為他們越來越利用AI並使用大量的培訓數據。現在,處理此類數據的嚴格安全檢查和保障措施的需求比以往任何時候都更為重要。
Github的角色和安全措施
Github是託管開源數據的平台,在檢測此類漏洞方面起著關鍵作用。
它的秘密掃描服務監視公共開源代碼更改,以更改包括SAS代幣在內的憑證和秘密的明文暴露。
該服務檢測到了有關SAS令牌,但最初被標記為“假陽性”。此後,Github擴大了其檢測能力,以捕獲過於允許的SAS令牌。
SAS令牌解釋了
共享訪問簽名(SAS)代幣(由Azure使用)是將訪問數據訪問在存儲帳戶中的安全機制。
這些令牌提供了對客戶可以訪問的資源,可以執行的操作以及多長時間的顆粒狀控制。但是,正如事件所說明的那樣,創建和處理SAS令牌需要一絲不解地關注細節。
Azure Storage建議在使用SAS URL合作時,建議使用短暫的SAS令牌,仔細處理它們並製定撤銷計劃,包括應用最低特權的原則。這些做法可以大大降低意外訪問或濫用的風險。
保持在Tech Times。
