微软38TB敏感数据遭泄露，3万多条内部消息曝光

网络安全公司Wiz发现，自2020年7月以来，微软AI研究部门在GitHub上发布大量开源培训数据时，意外泄露了38TB的敏感数据。泄露的数据暴露了两名员工工作站的磁盘备份，其中包含机密、私钥、密码和30000多条微软团队内部消息。

Wiz发布的报告中写道：“研究人员使用一种名为SAS令牌的Azure功能共享他们的文件，该功能允许共享来自Azure存储帐户的数据。访问级别可以仅限于特定的文件。但是，在这次数据泄露事件中，链接被配置为共享整个存储帐户，包括另外38TB的专用文件。”

Wiz研究团队在扫描互联网以查找暴露云托管数据的错误配置的存储容器时发现了该存储库。专家们在GitHub上发现了一个名为的微软组织下的存储库。该存储库属于微软的AI研究部门，该部门利用该存储库为图像识别提供开源代码和人工智能模型。微软AI研究团队于2020年7月开始发布数据。微软使用Azure SAS令牌共享其研究团队的Azure存储帐户中存储的数据。用于访问存储库的Azure存储签名URL被错误地配置为授予整个存储帐户的权限，从而暴露了私人数据。

共享人工智能数据集的简单步骤导致了一次重大数据泄露，其中包含超过38TB的私人数据。根本原因是使用了帐户SAS令牌作为共享机制。由于缺乏监控和治理，SAS令牌构成了安全风险，应尽可能限制其使用。

Wiz指出，SAS代币无法轻松跟踪，因为微软没有提供在Azure门户网站内管理它们的集中方式。微软方面则表示：“没有客户数据被泄露，也没有其他内部服务因此问题而面临风险。不需要客户对此问题采取任何行动。”

（新闻来自：E安全）