【開心Share】Microsoft員工錯設權限 38TB數據曝光3年
Wiz 雲端安全研究小組發現,Microsoft 員工曾在 GitHub 開源共享平台分享 AI 模型訓練數據,但由於意外地放置了允許從外部訪問 Azure Blob 儲存空間的網址及 SAS tokens,導致 38TB 非公開數據可供外人讀取,而且情況維持足足三年,認真匪夷所思。
AI 訓練模型設定錯誤
導致這次內部數據可被外人讀取的問題,出在 Shared Access Signature(SAS)tokens 的配置失誤上。SAS 是一種用於 Azure 帳戶的安全驗證機制,可用於控制帳戶中資源的存取安全性,例如管理員可為每個帳戶分配存取權限及設置有效期。
不過,Wiz 研究員在今年 6 月一次常規網絡安全掃瞄作業期間,發現 Microsoft AI 研究小組在 GitHub 開源倉庫上公開共享的一個 AI 訓練模型,竟包含一個設定錯誤的 Azure Blob 儲存空間的訪問網址,內裡有多達 38TB 的機密數據。
研究員指出,SAS tokens 本身雖然是一個驗證安全機制,不過,這次由於管理員未有為這個 tokens 嚴格設定訪問權限及時限,因此自 2020 年 7 月上載至 GitHub 以來,外人便可通過內附的網址儲存這些機密資料。
Microsoft 指不涉客戶私隱
Wiz 研究員認為 SAS tokens 的問題主要有多方面,首先是 Azure 沒有提供一個集中管理 SAS tokens 的方式,令管理員難以追蹤 tokens 的使用情況,是否有一些閒置的 tokens 需要注銷;其次是 tokens 可以設定為永久生效,有可能因管理員疏忽忘記或後繼者未能發現這個 tokens 存在,令曾持有 tokens 的人可以繼續存取資料。最後,由於缺乏集中式管理方式,因此管理員亦難以發現是否有一些帳戶的權限過大或超出其需要。以上種種問題,都令管理及取消 SAS tokens 容易出現漏洞,研究員更建議企業用家不應繼續使用這種驗證方式。
研究員在今年 7 月通知 Microsoft 危機處理小組,對方在翌日已訊速處理問題及取消有關 tokens。經查證後,Microsoft 回應指 38TB 數據全與員工及內部通訊有關,不涉客戶私隱。安全專家認為這次事件有很大機會再次發生,因為隨著 AI 時代來臨,各類供應商都急於搶先推出服務,因而容易疏忽網絡安全問題。而 Microsoft 則在網站貼出安全設定貼士,例如應限制訪問權限、使用短效 tokens、定期檢查及回收 tokens 等,以防客戶遭遇類似事件。
