微軟(MSFT.US)AI研究人員意外泄露大量數(shù)據(jù) 涉及私鑰、密碼及 3 萬條內(nèi)部 Teams 消息

智通財(cái)經(jīng)APP獲悉，云安全初創(chuàng)公司 Wiz Research 最新研究顯示，微軟(MSFT.US)的人工智能研究團(tuán)隊(duì)意外暴露了軟件開發(fā)平臺(tái)GitHub上的大量私人數(shù)據(jù)緩存。該事件由一個(gè)配置錯(cuò)誤的 SAS（共享訪問簽名）令牌引起。

Wiz Research的一個(gè)團(tuán)隊(duì)發(fā)現(xiàn)，人工智能培訓(xùn)平臺(tái)上的云托管數(shù)據(jù)是通過一個(gè)配置錯(cuò)誤的鏈接泄露的。據(jù)Wiz稱，微軟的研究團(tuán)隊(duì)在GitHub上發(fā)布開源訓(xùn)練數(shù)據(jù)時(shí)泄露了這些數(shù)據(jù)。

該倉庫的用戶被敦促從云存儲(chǔ)URL下載人工智能模型。但根據(jù)Wiz的文章，它被錯(cuò)誤地配置為授予對整個(gè)存儲(chǔ)帳戶的權(quán)限，并且它還授予用戶完全控制權(quán)限，而不是只讀權(quán)限，這意味著他們可以刪除和覆蓋現(xiàn)有文件。據(jù)Wiz稱，泄露的數(shù)據(jù)包括微軟員工的個(gè)人電腦備份，其中包含微軟服務(wù)的密碼、密鑰和來自359名微軟員工的3萬多條微軟團(tuán)隊(duì)內(nèi)部消息。

Wiz的研究人員表示，開放數(shù)據(jù)共享是人工智能培訓(xùn)的關(guān)鍵組成部分，但如果共享不當(dāng)，共享大量數(shù)據(jù)會(huì)使公司面臨更大的風(fēng)險(xiǎn)。Wiz首席技術(shù)官兼聯(lián)合創(chuàng)始人Ami Luttwak說，Wiz在6月份與微軟分享了這些數(shù)據(jù)，微軟迅速采取行動(dòng)刪除了暴露的數(shù)據(jù)。他補(bǔ)充說，這起事件“本來可能會(huì)更糟”。

在被問及對此的評論時(shí)，微軟的一位發(fā)言人表示，“我們已經(jīng)確認(rèn)，沒有客戶數(shù)據(jù)被泄露，也沒有其他內(nèi)部服務(wù)受到威脅?！?/p>

在周一發(fā)布的文章中，微軟表示已調(diào)查并修復(fù)了一起事件，該事件涉及一名微軟員工，該員工將GitHub公共存儲(chǔ)庫中的URL共享給開源人工智能學(xué)習(xí)模型。微軟表示，存儲(chǔ)賬戶中暴露的數(shù)據(jù)包括兩名前員工工作站配置文件的備份，以及這兩名員工與同事之間的微軟團(tuán)隊(duì)內(nèi)部信息。

根據(jù)微軟的博客，數(shù)據(jù)緩存是Wiz的研究團(tuán)隊(duì)在掃描互聯(lián)網(wǎng)上配置錯(cuò)誤的存儲(chǔ)容器時(shí)發(fā)現(xiàn)的，這是他們正在進(jìn)行的意外暴露云托管數(shù)據(jù)工作的一部分。