吳明宜微軟AI部門不慎在開原專案中洩露38TB敏感資料,涉及密碼、金鑰和Teams訊息。安全廠商Wiz指出,問題源於Azure Blob的SAS令牌權限過大和監控不足。
微軟周一被安全廠商揭露,AI 部門在一個機器學習模型的開原碼計畫中不慎洩露敏感資料,自 2020 年 7 月起有 38TB 的資料可能已公開。
安全廠商 Wiz 研究人員今年稍早發現,微軟三年前因開原碼專案而設立的 AI GitHub 儲存庫,不慎加入了 Azure Blob 物件儲存體的 URL 。這個儲存體現原本內含和 ImageNet 模型開原碼專案相關的原始碼、機器學習模型,還有 2 名前員工工作站的磁碟備份,當中包含密碼、金鑰、憑證以及 30,000 多則 Teams 訊息,總資料量達 38TB 。
Wiz 研究人員指出,這次外洩和權限過大的 SAS 憑證 (token) 有關。 SAS 這項功能原本的設計用意在允許委任的人可存取儲存帳號內的資源,但委任的人卻因此可掌握很大權利,包括控管終端裝置的資料存取,指定能使用什麼服務、定義終端的權限,以及決定 SAS 令牌有效期限。
但研究人員指出,SAS 缺乏監控和治理,令牌很難追蹤,因為微軟並未設計從 Azure 入口網站集中控管,而且很難註銷權限,因為使用者可以設定令牌效期無限。因此,SAS 對企業安全一大隱憂,應該避免以 SAS 和外人共享資料。
Wiz 今年 6 月發現這個門戶洞開的 AI GitHub 儲存庫,微軟接獲通報後,已將所有 SAS 令牌註銷,切斷該 AI 開原碼專案的外部存取。
這不是微軟第一次搞這種烏龍。去年 9 月,另一家安全廠商 SOCRadar 也發現屬於微軟的 Azure Blob 儲存體 (bucket) 配置錯誤對外門戶洞開。該儲存體內有 2017 年到 2022 年 8 月的敏感資料,相關單位涵括 111 國 6.5 萬個組織。
來源:The Hacker News