SAS 憑證安全疏忽!微軟AI研究部門資料嚴重外洩
編譯/莊閔棻
近日,全球領先的科技公司之一微軟的人工智慧(AI)研究部門發生嚴重的資料外洩事件。發現該漏洞的雲端安全新創公司 Wiz表示 ,該 URL 一共暴露38 TB 的 微軟內部敏感數據,包括私鑰、密碼以及來自數百名微軟員工的Teams 內部訊息,以及兩名微軟員工個人電腦的個人備份。
怎麼發生的?
Wiz表示,資料外洩的發生是因為微軟員工使用共用存取簽章(SAS)令牌建立 URL。作為微軟雲端Azure 使用的一種機制,SAS 令牌可讓使用者建立可共用連結,並授予對 Azure 儲存資源的存取權限。但是,該員工當時使用的是錯誤的、授予對儲存帳戶中「所有資源」存取權限的「帳號SAS 令牌」,而不是只授予對「特定資源」存取權限的「服務 SAS 令牌」。
更多新聞:你跟上了嗎?一文看懂影響 2024 年5 項科技趨勢
微軟做了什麼?
Wiz 表示,該URL 於2020 年曝光,並於2023 年6 月22 日找到,並向微軟報告其發現結果。接獲通報後,微軟已註銷所有 SAS 令牌,切斷該 AI 開原碼專案的外部存取,以及對可能影響到的公司進行調查。
有什麼影響?
微軟表示,並沒有客戶資料外洩,也沒有其他內部服務因此問題面臨風險。 然而,Wiz 則警告稱,該外洩可能會導致嚴重後果,如資料竊取、勒索軟體攻擊或供應鏈攻擊等。 Wiz 也表示,這也可能會損害微軟AI研究和模型的完整性和可信度。
吸取了哪些教訓?
資料外洩事件凸顯保護大量資料的挑戰和風險,尤其是在節奏非常快速的AI發展領域。 這次的事件還顯示公司在建立和共用 SAS 令牌時,遵循「最佳實務步驟」和「安全協定」的重要性。研究人員還指出,因為SAS缺乏監控和治理,讓令牌很難追蹤。因此,SAS 對企業安全來說是一大隱憂,應該避免以 SAS 和外人共享資料。
參考資料:Analytics Insight
瀏覽 2,442 次