微软周一表示,已采取措施纠正导致 38 TB 私人数据泄露的明显安全漏洞。
Wiz 表示,该漏洞是在该公司的 AI GitHub 存储库中发现的,据说是在发布一桶开源训练数据时无意中公开的。它还包括两名前员工工作站的磁盘备份,其中包含机密、密钥、密码和 30,000 多条内部 Teams 消息。
名为“ robust-models-transfer ”的存储库不再可访问。在被删除之前,它提供了与2020 年题为“对抗性鲁棒 ImageNet 模型传输更好吗?”的研究论文相关的源代码和机器学习模型。
Wiz在一份报告中表示:“这次曝光是由于SAS 令牌过于宽松造成的,SAS 令牌是 Azure 的一项功能,允许用户以难以跟踪和难以撤销的方式共享数据。” 该问题已于 2023 年 6 月 22 日报告给 Microsoft。
具体来说,存储库的 README.md 文件指示开发人员从 Azure 存储 URL 下载模型,该 URL 意外地还授予了对整个存储帐户的访问权限,从而暴露了其他私有数据。
Wiz 研究人员 Hillai Ben-Sasson 和 Ronny Greenberg 表示:“除了过于宽松的访问范围之外,令牌还被错误配置为允许‘完全控制’权限而不是只读。” “这意味着,攻击者不仅可以查看存储帐户中的所有文件,还可以删除和覆盖现有文件。”
针对调查结果,微软表示,其调查没有发现未经授权泄露客户数据的证据,并且“没有其他内部服务因此问题而面临风险”。它还强调,客户无需采取任何行动。
Windows 制造商进一步指出,它撤销了 SAS 令牌并阻止了对存储帐户的所有外部访问。该问题在负责任的披露两天后得到解决。
为了减轻未来的此类风险,该公司已扩展其秘密扫描服务,以涵盖任何可能具有过于宽松的到期或特权的 SAS 令牌。该公司表示,它还在扫描系统中发现了一个错误,该错误将存储库中的特定 SAS URL 标记为误报。
研究人员表示:“由于 Account SAS 代币缺乏安全性和治理,它们应该被视为与账户密钥本身一样敏感。” “因此,强烈建议避免使用 Account SAS 进行外部共享。令牌创建错误很容易被忽视并暴露敏感数据。”
这并不是 Azure 存储帐户配置错误第一次被曝光。2022 年 7 月,JUMPSEC Labs强调了一种场景,其中威胁行为者可以利用此类帐户来访问企业本地环境。
这一事件是微软最新的安全失误,近两周前,该公司透露,中国的黑客能够渗透到公司的系统,通过破坏工程师的公司帐户并可能访问崩溃转储来窃取高度敏感的签名密钥。消费者签名系统。
Wiz 首席技术官兼联合创始人 Ami Luttwak 表示:“人工智能为科技公司释放了巨大的潜力。然而,随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们处理的大量数据需要额外的安全检查和保障措施。”一份声明。
“这种新兴技术需要大量数据进行训练。由于许多开发团队需要操纵大量数据、与同行共享数据或在公共开源项目上进行协作,像微软这样的情况越来越难以监控和避免。”
原文始发于微信公众号(祺印说信安):微软AI研究人员意外泄露38TB机密数据
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论