微软人工智能研究团队近日在 GitHub 上意外暴露了海量敏感数据,这一事件由云安全初创公司 Wiz 发现并披露。据 TechCrunch 报道,该 GitHub 仓库属于微软 AI 研究部门,内含用于图像识别的开源代码和 AI 模型,并引导用户从 Azure Storage URL 下载相关模型。然而 Wiz 安全团队发现,该 URL 权限配置存在严重漏洞,错误地授予了”full control”而非”read-only”访问权限,导致大量私密信息被公开泄露。
此次泄露的数据规模惊人,涉及 38TB 敏感信息,具体包括:两名微软员工的个人电脑完整备份、Microsoft 服务的核心密码、机密密钥,以及超过 30,000 条来自数百名微软员工的内部 Microsoft Teams 消息等高度敏感的个人信息。Wiz 团队指出,存储账户本身并未直接暴露,真正的问题在于 URL 中嵌入了一个权限过度的共享访问签名 (SAS) token。作为 Azure 的标准安全机制,SAS token 本用于创建可共享链接,但此次配置错误使其具备了删除、篡改或注入恶意内容的可怕能力。
Wiz 团队表示,他们已于 6 月 22 日将这一重大发现告知微软,微软在两天后的 6 月 24 日迅速吊销了该 SAS token。微软安全团队在 8 月 16 日完成调查后确认,此次事件并未导致任何客户数据泄露,也未对其他内部服务构成安全风险。微软在 TechCrunch 发布的官方博客中强调,”没有暴露任何客户数据,也没有因此问题而使其他内部服务面临风险。”
此次事件暴露出企业开源代码管理中的重大安全隐患。微软对此高度重视,已主动扩展 GitHub 秘密扫描服务,该服务能够实时监控所有公开源代码的变更,有效防范凭证明文暴露、秘密信息泄露以及 SAS token 权限配置不当等问题。这一举措将显著提升企业代码资产的安全性,避免类似数据泄露事件再次发生。
