微软AI团队38TB数据泄露 仅涉及内部数据

　　当地时间9月18日，云安全公司Wiz发表研究报告称，此前，公司在对云托管数据的泄露问题进行持续调查时，发现微软AI(人工智能)研究团队在Github发布开源训练数据时意外泄露了38TB的隐私数据。这一切由一个配置错误的 SAS(IT之家注：共享访问签名)令牌引起。

　　微软在GitHub存储库中提供了一个属于微软云存储系统Azure Storage的网址链接，可以用来下载开源代码和用于图像识别的AI模型。然而，由于微软的AI开发人员在网址中包含了一个过于宽松的共享访问签名(SAS)令牌，此链接竟被设置成授予整个存储账户的权限。也就是说，点进该链接的任何人都能访问与之相关的存储账户的全部内容。

　　更可怕的是，该链接给与访问者的权限是“完全控制”，意味着任何人都有可能在整个账户中删除、替换或添加恶意内容。

　　在受到影响的全部数据中，包括了两名微软员工的个人电脑备份，还有用于微软服务的密码、秘钥以及Teams上来自359名微软员工的超三万条内部群聊消息。

　　微软表示，没有客户数据在此次事件中遭到泄露。

　　整个事件的具体时间线如下：

　　2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub;到期日定为 2021 年 10 月 5 日

　　2021 年 10 月 6 日- SAS 令牌到期日更新为 2051 年 10 月 6 日

　　2023 年 6 月 22 日- Wiz Research 发现问题并向微软报告

　　2023 年 6 月 24 日- 微软宣布 SAS 令牌失效

　　2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替换

　　2023 年 8 月 16 日- 微软完成对潜在影响的内部调查

　　2023 年 9 月 18 日- Wiz Research 公开披露此事

　　(综合自IT之家、澎湃新闻∙10%公司)

责任编辑：赵苗苗