微软 AI 研究人员意外泄露 38TB 内部数据，包括私钥、密码及 3 万条内部 Teams 消息

云安全初创公司 Wiz Research 今日发布公告称 ，微软在微软 AI 的研究意外 GitHub 存储库中发现了一起数据泄露事件 ，这一切由一个配置错误的泄露消息 SAS（IT之家注 ：共享访问签名）令牌引起。

细节方面，内部微软的源码库数据私钥 AI 研究团队在 GitHub 上发布了开源训练数据，但是包括部一同意外暴露了 38TB 的其他内部数据 ，包括微软几名员工个人 PC 的密码磁盘备份。源码下载而在这个磁盘备份中 ，及万又包含了机密
、条内私人密钥
、微软密码和数百名 Microsoft 员工超过 30000 条 Microsoft Teams 内部消息。研究意外

该 GitHub 存储库提供了用于图像识别的泄露消息开源代码和 AI 模型，亿华云访问者被要求从 Azure 存储 URL 下载模型。内部然而 ，数据私钥Wiz 发现该 URL 被配置为授予整个存储账户的包括部权限
，从而错误地暴露了其他私人数据。

据称，建站模板涉事 URL 自 2020 年起就暴露了这些数据，该 URL 也被错误配置为允许“完全控制”而不是“只读”权限 ，这意味着任何知道在哪里查看的人都可能删除 、替换和注入恶意内容进入其中。云计算

Wiz 表示它已经于 6 月 22 日向微软报告了这一问题，两天后的 6 月 24 日 ，微软宣布撤销 SAS 令牌。微软表示，它于 8 月 16 日完成了对潜在组织影响的模板下载调查 。

整个事件的具体时间线如下 ：

2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub；到期日定为 2021 年 10 月 5 日2021 年 10 月 6 日- SAS 令牌到期日更新为 2051 年 10 月 6 日2023 年 6 月 22 日- Wiz Research 发现问题并向微软报告2023 年 6 月 24 日- 微软宣布 SAS 令牌失效2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替换2023 年 8 月 16 日- 微软完成对潜在影响的内部调查2023 年 9 月 18 日- Wiz Research 公开披露此事