保贝狗是一款个人信息保护产品。
Microsoft周一表示,已采取措施纠正导致38TB私人数据暴露的明显安全失误。
Wiz说,泄漏是在该公司的AI GitHub存储库中发现的,据说是在发布一桶开源训练数据时无意中公开的。它还包括两个前员工工作站的磁盘备份,其中包含机密、密钥、密码和超过 30,000 条内部 Teams 消息。
名为“robust-models-transfer”的存储库不再可访问。在下架之前,它展示了与 2020 年一篇题为“对抗性健壮的 ImageNet 模型是否传输更好?
“这种暴露是由于过度宽松的SAS令牌 – 一项Azure功能,允许用户以难以跟踪和难以撤销的方式共享数据,”Wiz在一份报告中说。此问题已于 22 年 2023 月 <> 日报告给 Microsoft。
具体而言,存储库的 README.md 文件指示开发人员从 Azure 存储 URL 下载模型,该 URL 意外地还授予了对整个存储帐户的访问权限,从而公开了其他专用数据。
“除了过于宽松的访问范围外,令牌还被错误配置为允许”完全控制“权限而不是只读,”Wiz研究人员Hillai Ben-Sasson和Ronny Greenberg说。“这意味着,攻击者不仅可以查看存储帐户中的所有文件,还可以删除和覆盖现有文件。
针对调查结果,Microsoft表示,其调查没有发现未经授权暴露客户数据的证据,并且“没有其他内部服务因此问题而面临风险”。它还强调,客户无需采取任何行动。
Windows制造商进一步指出,它撤销了SAS令牌并阻止了对存储帐户的所有外部访问。在负责任的披露后,问题得到了两个解决。
为了降低此类风险,该公司已扩展其秘密扫描服务,以包括任何可能具有过度宽松到期或特权的SAS令牌。该公司表示,它还在其扫描系统中发现了一个错误,该错误将存储库中的特定SAS URL标记为误报。
“由于账户SAS令牌缺乏安全性和治理,它们应该被视为与账户密钥本身一样敏感,”研究人员说。“因此,强烈建议避免使用帐户 SAS 进行外部共享。令牌创建错误很容易被忽视并暴露敏感数据。
这不是第一次发现配置错误的 Azure 存储帐户。2022 年 <> 月,JUMPSEC 实验室强调了一种场景,在该场景中,威胁参与者可以利用此类帐户来访问企业内部部署环境。
这一发展是Microsoft最新的安全错误,近两周前,该公司透露,总部位于中国的黑客能够通过破坏工程师的公司帐户并可能访问消费者签名系统的崩溃转储来渗透公司的系统并窃取高度敏感的签名密钥。
“人工智能为科技公司释放了巨大的潜力。然而,随着数据科学家和工程师竞相将新的人工智能解决方案投入生产,他们处理的大量数据需要额外的安全检查和保障措施,“Wiz CTO兼联合创始人Ami Luttwak在一份声明中说。
“这项新兴技术需要大量的数据来训练。由于许多开发团队需要处理大量数据,与同行共享数据或在公共开源项目上进行协作,因此像Microsoft这样的情况越来越难以监控和避免。
