SAS 憑證安全疏忽！微軟AI研究部門資料嚴重外洩

編譯／莊閔棻

近日，全球領先的科技公司之一微軟的人工智慧（AI）研究部門發生嚴重的資料外洩事件。發現該漏洞的雲端安全新創公司 Wiz表示 ，該 URL 一共暴露38 TB 的 微軟內部敏感數據，包括私鑰、密碼以及來自數百名微軟員工的Teams 內部訊息，以及兩名微軟員工個人電腦的個人備份。

怎麼發生的？

Wiz表示，資料外洩的發生是因為微軟員工使用共用存取簽章（SAS）令牌建立 URL。作為微軟雲端Azure 使用的一種機制，SAS 令牌可讓使用者建立可共用連結，並授予對 Azure 儲存資源的存取權限。但是，該員工當時使用的是錯誤的、授予對儲存帳戶中「所有資源」存取權限的「帳號SAS 令牌」，而不是只授予對「特定資源」存取權限的「服務 SAS 令牌」。

更多新聞：你跟上了嗎？一文看懂影響 2024 年5 項科技趨勢

微軟做了什麼？

Wiz 表示，該URL 於2020 年曝光，並於2023 年6 月22 日找到，並向微軟報告其發現結果。接獲通報後，微軟已註銷所有 SAS 令牌，切斷該 AI 開原碼專案的外部存取，以及對可能影響到的公司進行調查。

有什麼影響？

微軟表示，並沒有客戶資料外洩，也沒有其他內部服務因此問題面臨風險。 然而，Wiz 則警告稱，該外洩可能會導致嚴重後果，如資料竊取、勒索軟體攻擊或供應鏈攻擊等。 Wiz 也表示，這也可能會損害微軟AI研究和模型的完整性和可信度。

吸取了哪些教訓？

資料外洩事件凸顯保護大量資料的挑戰和風險，尤其是在節奏非常快速的AI發展領域。 這次的事件還顯示公司在建立和共用 SAS 令牌時，遵循「最佳實務步驟」和「安全協定」的重要性。研究人員還指出，因為SAS缺乏監控和治理，讓令牌很難追蹤。因此，SAS 對企業安全來說是一大隱憂，應該避免以 SAS 和外人共享資料。

參考資料：Analytics Insight

瀏覽 2,133 次