微软的AI研究人员不慎泄露高达38TB的数据 包含密码/密钥/聊天记录等 – 蓝点网

云安全公司 Wiz 今天发布博客介绍该公司与微软协调解决的一个安全问题，Wiz 发现微软的 AI 研究人员不慎将存储在 Azure 上的高达 38TB 的存储库暴露了，此次问题属于单纯的配置问题，并非安全漏洞。

今年 6 月份，Wiz 在 GitHub 上发现 Microsoft AI 研究人员使用的 GitHub 存储库中包含的 Azure 存储链接分配了太简单的访问令牌，这导致任何人拿到链接都可以直接访问所有数据。

微软 AI 研究人员犯的这个错误和之前国内不少用户使用某度网盘共享内容犯的错误基本类似，那就是创建共享链接时，没有进行权限控制，也就是完全公开共享，不需要输入密码，只要拿到链接就能访问。

为此百度网盘此前还更新了共享机制，默认不再发布公开共享链接，而是需要使用访问密码才能访问，这样可以避免其他人拿到链接就长期访问数据。

好消息是这份存储库基本不涉及微软的机密或用户的数据，里面唯一算是敏感的内容是两名微软员工的个人备份数据，这里面包含了不少账号密码、密钥和 Microsoft Teams 聊天记录。

调查发现这个问题从 2020 年来就存在，也就是这个高达 38TB 数据的存储库从 2020 年开始就可以公开访问，一直没有被人发现，或者说有人发现但并没有通知微软。

Wiz 在 6 月 22 日负责任的向微软通报了这个问题，随后微软安全响应中心介入处理，到 6 月 24 日微软撤销了这个 Azure 存储库的共享访问签名令牌，暴露在网上的链接失效。

今天微软响应中心披露了这件事，微软强调没有泄露客户数据，微软内部服务也没有面临风险。

不过按理说这名微软员工泄露了一些密码和密钥，如果被黑客发现的话可能会利用这些数据入侵微软，既然微软说内部服务没有面临风险，那我们姑且认为 Wiz 就是第一个发现这个问题的人吧。

最新评论