微软人工智能团队意外泄露 38TB 敏感数据

安全
云安全公司 Wiz 近期披露,微软人工智能研究部门在向公共 GitHub 存储库贡献开源人工智能学习模型时意外泄露了38 TB 的敏感数据。

据BleepingComputer消息,云安全公司 Wiz 近期披露,微软人工智能研究部门在向公共 GitHub 存储库贡献开源人工智能学习模型时意外泄露了38 TB 的敏感数据。

Wiz 的安全研究人员发现,一名微软员工无意中共享了因配置错误而泄露敏感信息的 Azure Blob 存储桶URL。

微软认为这是由于使用过于宽松的共享访问签名(SAS)令牌,该令牌能对共享文件进行完全的控制,进而能以不可监控和撤销的方式进行数据共享。Wiz的研究人员警告称,由于缺乏监控和治理,SAS 令牌存在安全风险,应尽可能限制其使用,由于微软没有提供在 Azure中集中管理的方式,这些令牌非常难以跟踪。

Wiz发现,泄露的信息包括属于微软员工的个人信息备份、微软服务密码以及来自 359 名 微软员工共计 3万多条内部 Microsoft Teams 消息的存档。

在9月18日发布的一份通报中,微软安全响应中心(MSRC)团队表示没有客户数据被泄露,也没有其他内部服务因此次事件而面临危险。

Wiz 于 2023 年 6 月 22 日向 MSRC 报告了该事件,MSRC 撤销了 SAS 令牌以阻止对 Azure 存储帐户的所有外部访问,从而于 2023 年 6 月 24 日缓解了该问题。

Wiz 首席技术官兼联合创始人 Ami Luttwak 向BleepingComputer表示,人工智能为科技公司释放了巨大的潜力。然而,随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们处理的大量数据需要额外的安全检查和保障措施。

就在1年前,2022 年 9 月,威胁情报公司 SOCRadar发现了另一个微软配置错误的 Azure Blob 存储桶,其中包含存储在 2017 年至 2022 年 8 月文件中的敏感数据,这些数据与来自全球 111 个国家和地区的 65000 多个实体存在关联。

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-09-21 08:23:07

2023-09-19 06:39:46

2024-08-08 10:32:11

2024-07-17 11:25:15

2024-06-25 12:49:22

2022-10-20 20:50:03

2020-11-13 09:40:36

Windows 10Windows操作系统

2021-09-29 10:23:38

人工智能自动化AI

2023-09-19 12:46:09

2024-11-05 17:35:21

2017-08-21 13:41:42

AWSAmazon S3AI

2020-09-09 11:21:35

网络安全数据泄露漏洞

2020-11-26 15:09:49

数据安全百度地图机器学习

2023-08-04 23:49:09

2023-08-11 16:30:06

2021-05-19 09:58:16

云服务云存储云计算

2010-09-25 08:55:29

2023-10-23 10:39:05

2023-07-17 17:58:45

2021-08-30 23:12:47

人工智能数据泄露首席信息安全官
点赞
收藏

51CTO技术栈公众号