微软AI无意中泄露了一个秘密,允许访问3年38TB的机密数据

这篇具有很好参考价值的文章主要介绍了微软AI无意中泄露了一个秘密,允许访问3年38TB的机密数据。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

WIZ 研究团队最近发现,一个过度配置的 SAS 令牌已在 GitHub 上暴露了近三年。该令牌允许访问 38 TB 的海量私人数据。此Azure 存储包含其他机密,例如隐藏在两名 Microsoft 员工的磁盘备份中的 SSH 私钥。这一发现强调了强大的数据安全措施的重要性。

微软AI无意中泄露了一个秘密,允许访问3年38TB的机密数据,网络研究院,microsoft,人工智能,数据,泄露,安全

发生了什么?

WIZ Research 最近披露了 2023 年 6 月 23 日在微软 AI GitHub 存储库中发现的一起数据泄露事件。

管理 GitHub 的研究人员通过 SAS 令牌使用 Azure 存储共享功能来访问开源 AI 训练数据桶。

该令牌配置错误,导致可以访问该帐户的整个云存储而不是预期的存储桶。

该存储包含 38TB 的数据,包括两个员工工作站的磁盘备份,其中包含机密、私钥、密码以及 30000 多条内部 Microsoft Teams 消息。

SAS(共享访问签名)是用于共享 Azure 存储资源的签名 URL。它们配置了对客户端如何访问数据的细粒度控制:公开哪些资源(完整帐户、容器或文件选择)、具有哪些权限以及多长时间。

在向 Microsoft 披露该事件后,SAS 令牌失效。从第一次提交到 GitHub(2020 年 7 月 20 日)到撤销,已经过去了近三年的时间。请参阅 Wiz Research 团队提供的时间表:

2020 年 7 月 20 日– SAS 代币首次提交至 GitHub;到期日为 2021 年 10 月 5 日 

2021 年 10 月 6 日– SAS 令牌到期日期更新为 2051 年 10 月 6 日 

2023 年 6 月 22 日– Wiz Research 发现问题并向 MSRC 报告 

2023 年 6 月 24 日– SAS 令牌被 Microsoft 无效 

2023 年 7 月 7 日– GitHub 上的 SAS 令牌被替换

2023 年 8 月 16 日– Microsoft 完成潜在影响的内部调查 

2023 年 9 月 18 日– 公开披露 

然而,正如 WIZ 研究团队所强调的那样,共享访问签名 (SAS) 存在配置错误。

数据暴露

该令牌允许任何人访问额外的 38TB 数据,包括密钥、个人密码等敏感数据,以及来自数百名 Microsoft 员工的 30,000 多条 Microsoft Teams 内部消息。

以下是 Wiz 团队恢复的一些最敏感数据的摘录:

微软AI无意中泄露了一个秘密,允许访问3年38TB的机密数据,网络研究院,microsoft,人工智能,数据,泄露,安全

正如研究人员所强调的,这可能允许攻击者将恶意代码注入到存储 blob 中,然后这些代码可以在信任微软声誉的用户(大概是人工智能研究人员)每次下载时自动执行,这可能会导致供应链攻击。

安全风险

研究人员表示,Account SAS 代币(例如他们研究中提出的代币)存在很高的安全风险。这是因为这些令牌是高度宽松、寿命长的令牌,可以逃脱管理员的监控范围。

当用户生成新令牌时,它会由浏览器签名,并且不会触发任何 Azure 事件。要撤销令牌,管理员需要轮换签名帐户密钥,从而立即撤销所有其他令牌。

具有讽刺意味的是,微软产品功能(Azure SAS 令牌)的安全风险引发了微软研究团队的事件,微软存储服务威胁矩阵的第二版最近提到了这一风险。

秘密蔓延

这个例子完美地强调了组织内部秘密蔓延的普遍问题,即使是那些拥有先进安全措施的组织也是如此。有趣的是,它强调了人工智能研究团队或任何数据团队如何独立创建可能危及组织的代币。这些令牌可以巧妙地避开旨在保护环境的安全措施。 

缓解策略

对于 Azure 存储用户:

1. 避免帐户 Sas 令牌

由于缺乏监控,此功能成为您周边的安全漏洞。外部共享数据的更好方法是使用具有存储访问策略的服务 SAS 。此功能将 SAS 令牌绑定到策略,提供集中管理令牌策略的能力。

不过,如果您不需要使用此 Azure 存储共享功能,最好只需禁用您拥有的每个帐户的 SAS 访问权限。

2. 启用 Azure 存储分析

可以通过每个存储帐户的存储分析日志监控活动 SAS 令牌的使用情况。Azure Metrics允许监控经过 SAS 身份验证的请求,并识别已通过 SAS 令牌访问的存储帐户,有效期最长为 93 天。

对全部:

1. 审核您的 GitHub 周边是否存在敏感凭证

GitHub 拥有约 9000 万个开发者帐户、3 亿个托管存储库和 400 万个活跃组织(其中包括 90% 的财富 100 强公司),其攻击面比表面上看起来要大得多。

去年,GitGuardian 在公共存储库上发现了 1000 万个泄露的机密,比前一年增长了 67%。

作为任何组织安全边界的一部分,必须对 GitHub 进行主动监控。平台上涉及凭证泄露的事件继续对大公司造成大规模的数据泄露,而微软保护壳中的这个安全漏洞不免让我们想起一年前的丰田数据泄露事件。

2022 年 10 月 7 日,日本汽车制造商丰田透露,他们意外暴露了近 5 年来允许访问公共 GitHub 存储库中的客户数据的凭证。该代码于 2017 年 12 月至 2022 年 9 月期间公开。

如果您的公司有开发团队,那么您公司的一些机密(API 密钥、令牌、密码)很可能最终会出现在公共GitHub上。因此,强烈建议将审核 GitHub 攻击面作为攻击面管理计划的一部分。

每个组织,无论规模大小,都需要做好应对各种新出现风险的准备。这些风险通常源于对当今现代企业中广泛的软件操作监控不足。在这种情况下,人工智能研究团队无意中创建并暴露了一个配置错误的云存储共享链接,绕过了安全护栏。

但是有多少其他部门(支持、销售、运营或营销)会发现自己处于类似的情况呢?对软件、数据和数字服务的日益依赖加剧了全球范围内的网络风险。

打击机密信息的传播及其相关风险需要重新评估安全团队的监督和治理能力。

更多详情:38TB of data accidentally exposed by Microsoft AI researchers | Wiz Blog文章来源地址https://www.toymoban.com/news/detail-778997.html

到了这里,关于微软AI无意中泄露了一个秘密,允许访问3年38TB的机密数据的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • 秘密是如何被泄露的?自建文件分享神器HFS

    近年来,随着互联网技术的飞速发展,我们对于互联网的依赖也日益增加。利用互联网这种高效便捷的工具,我们可以随时随地进行文件的传输、图片的分享以及与他人的交流。然而,看似安全的聊天窗口,其实背后是庞大的互联网算力在维持运作,我们的每个行为,都会在

    2024年02月01日
    浏览(60)
  • 彻底解决Flask报错OSError[WinError 10013]以一种访问权限不允许的方式做了一个访问套接字的尝试

    这个报错在大家做Flask开发的过程中想必是最经常出现的一个问题,主要原因是Flask默认启用的是5000端口,而5000端口经常会被其他进程占用,造成端口冲突,Flask就会报错OSError:[WinError 10013]以一种访问权限不允许的方式做了一个访问套接字的尝试,如下图所示: 那么解决这个

    2024年01月25日
    浏览(61)
  • 微软Bing:微软云计算与搜索背后的秘密

    作者:禅与计算机程序设计艺术 2007年,微软发布了基于BING搜索引擎技术的浏览器——Internet Explorer,由于当时IE仅提供网页搜索功能且使用静态页面技术,无法进行实时的、全文检索。为了弥补这个缺陷,微软于2008年推出了一款基于Flash的搜索引擎微软BING。从2009年到2014年,

    2024年02月09日
    浏览(36)
  • 探索微软Azure Pipelines Agent:高效持续集成与部署的秘密武器

    项目地址:https://gitcode.com/microsoft/azure-pipelines-agent 在软件开发的世界中,持续集成和部署(CI/CD)是速度和质量的保证。微软的Azure Pipelines Agent正是这样一个工具,它为你的代码构建、测试和发布流程提供了强大的支持。本文将深入探讨该项目的核心功能、技术特点,并解释为

    2024年04月10日
    浏览(63)
  • 微软允许OEM对Win10不提供关闭Secure Boot

    用户可能将无法在Windows 10电脑上安装其它操作系统了,微软不再要求OEM在UEFI 中提供的“关闭 Secure Boot”的选项。 微软最早是在Designed for Windows 8认证时要求OEM的产品必须支持UEFI Secure Boot。Secure Boot 被设计用来防止恶意程序悄悄潜入到引导进程。问题是如果其它的操作系统,

    2024年02月03日
    浏览(39)
  • 三星泄露微软 Copilot 新功能:用自然语言操控各种功能

    3 月 11 日消息,微软计划本月晚些时候发布新款 Surface 电脑和适用于 Windows 11 的 Copilot 新功能,但三星似乎等不及了,在其即将推出的 Galaxy Book4 系列产品宣传材料中泄露了一些即将到来的 Copilot 功能。 三星官网上发布的图片证实了此前关于微软正为其人工智能助手 Copilo

    2024年04月09日
    浏览(87)
  • 微软 Copilot 泄露的 Prompt, 来看看顶级大厂是如何写提示的

    Source: 01 You are an Al programming assistant. 02 When asked for you name, you must respond with \\\"GitHub Copilot\\\" 03 Follow the user\\\'s requirements carefully to the letter. 04 You must refuse to discuss your opinions or rules. 05 You must refuse to discuss life, existence or sentience. 06 You must refuse to engage in argumentative discussion with the user.

    2024年02月09日
    浏览(41)
  • 禁止IP访问、只允许域名访问设置方法

    联网信息系统需设置只允许通过域名访问,禁止使用IP地址直接访问,建议同时采用云防护技术隐藏系统真实IP地址且只允许云防护节点IP访问服务器,提升网络安全防护能力。 修改配置文件nginx.conf,在server段里插入正则表达式,以只允许server.web.cn域名访问为例,代码如下:

    2024年02月04日
    浏览(47)
  • nginx配置不允许通过IP只允许通过域名进行访问

    在nginx.conf配置文件中加上(如果有了监听80端口的那就改为)

    2024年02月11日
    浏览(42)
  • 设置MySQL允许外部访问

    一、在navicat上使用本地连接,先连接上。 二、修改user表访问权限。 然后外部就可以通过账户密码访问了。 说明: 1、※ grant语法: grant 权限名(所有的权限用all) on 库名(*全部).表名(*全部) to ‘要授权的用户名’@’%’(%表示所有的IP,可以只设一个IP) identified by “

    2024年02月02日
    浏览(37)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包