一個(gè)小小的設(shè)置失誤，導(dǎo)致微軟(Nasdaq：MSFT)在近三年的時(shí)間里將高達(dá)38TB的內(nèi)部數(shù)據(jù)暴露在外。

當(dāng)?shù)貢r(shí)間9月18日，云安全公司W(wǎng)iz發(fā)表研究報(bào)告稱，此前，公司在對(duì)云托管數(shù)據(jù)的泄露問(wèn)題進(jìn)行持續(xù)調(diào)查時(shí)，發(fā)現(xiàn)微軟AI(人工智能)研究團(tuán)隊(duì)在Github發(fā)布開(kāi)源訓(xùn)練數(shù)據(jù)時(shí)意外泄露了38TB的隱私數(shù)據(jù)。

微軟表示，沒(méi)有客戶數(shù)據(jù)在此次事件中遭到泄露。

(資料圖片)

導(dǎo)致該次數(shù)據(jù)泄露的源頭讓人哭笑不得。微軟在GitHub存儲(chǔ)庫(kù)中提供了一個(gè)屬于微軟云存儲(chǔ)系統(tǒng)Azure Storage的網(wǎng)址鏈接，可以用來(lái)下載開(kāi)源代碼和用于圖像識(shí)別的AI模型。然而，由于微軟的AI開(kāi)發(fā)人員在網(wǎng)址中包含了一個(gè)過(guò)于寬松的共享訪問(wèn)簽名(SAS)令牌，此鏈接竟被設(shè)置成授予整個(gè)存儲(chǔ)賬戶的權(quán)限。也就是說(shuō)，點(diǎn)進(jìn)該鏈接的任何人都能訪問(wèn)與之相關(guān)的存儲(chǔ)賬戶的全部?jī)?nèi)容。

更可怕的是，該鏈接給與訪問(wèn)者的權(quán)限不是只能觀看、不能修改的“只讀”，而是“完全控制”，意味著任何人都有可能在整個(gè)賬戶中刪除、替換或添加惡意內(nèi)容。

在受到影響的全部數(shù)據(jù)中，包括了兩名微軟員工的個(gè)人電腦備份，還有用于微軟服務(wù)的密碼、秘鑰以及Teams上來(lái)自359名微軟員工的超三萬(wàn)條內(nèi)部群聊消息。

Wiz表示，這個(gè)網(wǎng)址鏈接從2020年就開(kāi)始暴露數(shù)據(jù)，直到Wiz發(fā)現(xiàn)該問(wèn)題并在今年6月22日和微軟分享了研究成果。微軟在兩天后的6月24日撤銷了有問(wèn)題的SAS令牌，并在今年8月16日完成了對(duì)組織內(nèi)部潛在影響的調(diào)查。

對(duì)于此事，微軟發(fā)言人表示，微軟已確認(rèn)沒(méi)有用戶數(shù)據(jù)遭到泄露，也沒(méi)有其他內(nèi)部服務(wù)受到威脅。

微軟安全響應(yīng)中心在當(dāng)日發(fā)布的博客文章中表示，收到Wiz的研究結(jié)果之后，他們已經(jīng)改進(jìn)了GitHub的秘密掃描服務(wù)，該服務(wù)能夠監(jiān)控所有公開(kāi)的開(kāi)源代碼改動(dòng)，其中包括那些過(guò)于寬松的SAS令牌。

這起事件再一次引起了對(duì)于AI數(shù)據(jù)安全問(wèn)題的關(guān)注。

Wiz的聯(lián)合創(chuàng)始人兼首席技術(shù)官阿米·盧特瓦克(Ami Luttwak)指出：“很多開(kāi)發(fā)團(tuán)隊(duì)都需要處理大規(guī)模的數(shù)據(jù)，需要與同事共享數(shù)據(jù)或在公共開(kāi)源項(xiàng)目上進(jìn)行合作，像微軟這樣的案例將會(huì)變得越來(lái)越難以監(jiān)控和避免。”