新闻

报料热线:81850000

您当前的位置 : 中国宁波网  >  新闻中心  >  国际
微软AI团队38TB数据泄露 涉员工电脑备份和服务密码
2023-09-19 15:51:09 稿源: 澎湃新闻  

  一个小小的设置失误,导致微软(Nasdaq:MSFT)在近三年的时间里将高达38TB的内部数据暴露在外。

  当地时间9月18日,云安全公司Wiz发表研究报告称,此前,公司在对云托管数据的泄露问题进行持续调查时,发现微软AI(人工智能)研究团队在Github发布开源训练数据时意外泄露了38TB的隐私数据。

  微软表示,没有客户数据在此次事件中遭到泄露。

  导致该次数据泄露的源头让人哭笑不得。微软在GitHub存储库中提供了一个属于微软云存储系统Azure Storage的网址链接,可以用来下载开源代码和用于图像识别的AI模型。然而,由于微软的AI开发人员在网址中包含了一个过于宽松的共享访问签名(SAS)令牌,此链接竟被设置成授予整个存储账户的权限。也就是说,点进该链接的任何人都能访问与之相关的存储账户的全部内容。

  更可怕的是,该链接给与访问者的权限不是只能观看、不能修改的“只读”,而是“完全控制”,意味着任何人都有可能在整个账户中删除、替换或添加恶意内容。

  在受到影响的全部数据中,包括了两名微软员工的个人电脑备份,还有用于微软服务的密码、秘钥以及Teams上来自359名微软员工的超三万条内部群聊消息。

  Wiz表示,这个网址链接从2020年就开始暴露数据,直到Wiz发现该问题并在今年6月22日和微软分享了研究成果。微软在两天后的6月24日撤销了有问题的SAS令牌,并在今年8月16日完成了对组织内部潜在影响的调查。

  对于此事,微软发言人表示,微软已确认没有用户数据遭到泄露,也没有其他内部服务受到威胁。

  微软安全响应中心在当日发布的博客文章中表示,收到Wiz的研究结果之后,他们已经改进了GitHub的秘密扫描服务,该服务能够监控所有公开的开源代码改动,其中包括那些过于宽松的SAS令牌。

  这起事件再一次引起了对于AI数据安全问题的关注。

  Wiz的联合创始人兼首席技术官阿米·卢特瓦克(Ami Luttwak)指出:“很多开发团队都需要处理大规模的数据,需要与同事共享数据或在公共开源项目上进行合作,像微软这样的案例将会变得越来越难以监控和避免。”

  在2021年,Wiz就曾指出过微软Azure基础设施中的一个“超级漏洞”,其开源应用Jupyter Notebook功能中的一系列错误配置让黑客能够访问、修改和删除数千名Azure客户的数据。随后,微软发布声明称该问题已得到解决,并用电子邮件通知了数千名受其影响的云客户。

编辑: 陈捷纠错:171964650@qq.com

扫一扫,中国宁波网装进手机

中国宁波网手机版

微信公众号

中国宁波网(宁波甬派传媒股份有限公司)版权所有(C)

Copyright(C) 2001-2023 cnnb.com.cn All Rights Reserved

互联网新闻信息服务许可证:3312017004 信息网络传播视听节目许可证:1104076

违法和不良信息举报电话:0574-81850000 举报邮箱:nb81850@qq.com

微软AI团队38TB数据泄露 涉员工电脑备份和服务密码

稿源: 澎湃新闻 2023-09-19 15:51:09

  一个小小的设置失误,导致微软(Nasdaq:MSFT)在近三年的时间里将高达38TB的内部数据暴露在外。

  当地时间9月18日,云安全公司Wiz发表研究报告称,此前,公司在对云托管数据的泄露问题进行持续调查时,发现微软AI(人工智能)研究团队在Github发布开源训练数据时意外泄露了38TB的隐私数据。

  微软表示,没有客户数据在此次事件中遭到泄露。

  导致该次数据泄露的源头让人哭笑不得。微软在GitHub存储库中提供了一个属于微软云存储系统Azure Storage的网址链接,可以用来下载开源代码和用于图像识别的AI模型。然而,由于微软的AI开发人员在网址中包含了一个过于宽松的共享访问签名(SAS)令牌,此链接竟被设置成授予整个存储账户的权限。也就是说,点进该链接的任何人都能访问与之相关的存储账户的全部内容。

  更可怕的是,该链接给与访问者的权限不是只能观看、不能修改的“只读”,而是“完全控制”,意味着任何人都有可能在整个账户中删除、替换或添加恶意内容。

  在受到影响的全部数据中,包括了两名微软员工的个人电脑备份,还有用于微软服务的密码、秘钥以及Teams上来自359名微软员工的超三万条内部群聊消息。

  Wiz表示,这个网址链接从2020年就开始暴露数据,直到Wiz发现该问题并在今年6月22日和微软分享了研究成果。微软在两天后的6月24日撤销了有问题的SAS令牌,并在今年8月16日完成了对组织内部潜在影响的调查。

  对于此事,微软发言人表示,微软已确认没有用户数据遭到泄露,也没有其他内部服务受到威胁。

  微软安全响应中心在当日发布的博客文章中表示,收到Wiz的研究结果之后,他们已经改进了GitHub的秘密扫描服务,该服务能够监控所有公开的开源代码改动,其中包括那些过于宽松的SAS令牌。

  这起事件再一次引起了对于AI数据安全问题的关注。

  Wiz的联合创始人兼首席技术官阿米·卢特瓦克(Ami Luttwak)指出:“很多开发团队都需要处理大规模的数据,需要与同事共享数据或在公共开源项目上进行合作,像微软这样的案例将会变得越来越难以监控和避免。”

  在2021年,Wiz就曾指出过微软Azure基础设施中的一个“超级漏洞”,其开源应用Jupyter Notebook功能中的一系列错误配置让黑客能够访问、修改和删除数千名Azure客户的数据。随后,微软发布声明称该问题已得到解决,并用电子邮件通知了数千名受其影响的云客户。

编辑: 陈捷

纠错:171964650@qq.com