权限设置出错 微软AI团队泄露38TB数据

当地时间9月18日，云安全公司Wiz发布报告称，公司在对云托管数据的泄露问题进行持续调查时，发现微软AI研究团队在Github发布开源训练数据时意外泄露了38TB的隐私数据，包括私钥、密码和超过三万条内部微软Teams消息。

微软在GitHub存储库中提供了一个属于微软云存储系统的网址链接，可以用来下载开源代码和用于图像识别的AI模型。然而，该网址允许访问的不仅仅是开源模型，还包括整个存储帐户，从而错误地暴露了额外的私有数据。

Wiz研究报告称，除了过于宽松的访问范围之外，共享访问签名令牌还被错误地配置为允许“完全控制”权限，而不是只读权限。这意味着，攻击者不仅可以查看存储帐户中的所有文件，还可以删除和覆盖现有文件。

Wiz表示，这个网址链接从2020年就开始暴露数据，直到Wiz发现该问题并在今年6月和微软分享了研究成果。9月18日当天，微软安全响应中心发布博文表示，收到Wiz的研究结果之后，他们已改进GitHub的秘密扫描服务，能够监控所有公开的开源代码改动，并已确认没有用户数据遭到泄露，也没有其他内部服务受到威胁。

权限设置出错 微软AI团队泄露38TB数据。点击视频，一看究竟！