您当前的位置:首页 > 电脑百科 > 安全防护 > 数据安全

微软配置错误致38TB内部数据泄露!

时间:2023-10-15 10:10:53  来源:  作者:程序员小巨

多达 38TB 的微软内部数据遭泄露,起因竟只是一个小小的配置错误?——确实如此,你没看错。

近日,云安全初创公司 Wiz Research 发布了一则公告:微软 AI 研究团队在 Github 上发布大量开源培训数据时,意外暴露了 38TB 的额外私人数据,其中还有两名员工工作站的磁盘备份,包括了机密信息、私钥、密码和超过30000条内部 Microsoft Teams 消息。

微软公司发生了一起惊人的安全漏洞,由于配置错误,导致38TB的内部数据被泄露。这一事件引发了广泛的关注和担忧,同时也推动了程序员这一岗位的需求飙升,成为了当下备受追捧的热门职业。本文将深入探讨微软数据泄露事件的影响,并剖析程序员岗位的迅猛发展,为读者呈现一个全面的视角。

而这一切的源头,仅是一个配置错误的共享访问签名(SAS)令牌。

微软配置错误致38TB内部数据泄露!

网络安全的重要性,不言而喻。

0138TB 内部数据遭泄露!

据 Wiz 介绍,微软这场规模庞大的数据泄露,早在2020年7月就存在了,只是在今年6月才被 Wiz 发现。

作为 Wiz 研究团队工作的一部分,他们会查找云托管数据意外暴露的情况,在互联网上扫描配置错误的存储容器。在此过程中,今年6月 Wiz 发现了一个属于微软 AI 研究部门的 GitHub 存储库。

这个 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,并引导开发者前往微软云存储系统 Azure Storage 的 URL,来下载相关代码和开源模型:

微软配置错误致38TB内部数据泄露!

乍看之下,这个 URL 没有任何问题,但 Wiz 却发现:该 URL 中包含了一个访问范围过于宽松的共享访问签名(SAS)令牌,被错误配置为授予整个 Azure 存储账户的权限——也就是说,点击该链接的人不仅可以访问开源模型,更可以共享该 Azure 存储账户中的全部数据!

根据 Wiz 扫描显示,该 Azure 存储账户包含 38TB 的额外数据,其中包括微软员工的个人电脑备份。这些备份包含敏感的个人数据,包括微软服务的密码、密钥以及来自 359 名微软员工的 30000 多条内部 Microsoft Teams 消息。

微软配置错误致38TB内部数据泄露!

在计算机备份中找到的一小部分敏感文件样本

微软配置错误致38TB内部数据泄露!

两名微软员工之间经过编辑的团队对话。

02“权限过大”的 SAS 令牌

说了这么久,那SAS令牌到底是什么呢?

具体来说,共有3种类型的SAS令牌:账户SAS、服务SAS和用户授权 SAS。而此次用于微软存储库中的,正是账户SAS令牌。

在Azure中,SAS令牌是一个经过签名的URL,可授予对Azure存储数据的访问权限,其访问范围和到期时间都可以由用户自定义:

  • 权限可以选择“只读”和“完全控制”,范围可以是单个文件、容器或整个存储账户;
  • 到期时间也完全可定制,用户可以创建永不过期的访问令牌。

生成账户SAS令牌的过程很简单,用户只需配置令牌的范围、权限和到期日期,即可生成令牌。在后台,浏览器会从Azure下载账户密钥,并用密钥签署生成的令牌——整个过程在客户端完成,既不是Azure发起的事件,生成的令牌也不是Azure对象。

微软配置错误致38TB内部数据泄露!

但也正因如此,一旦用户创建了一个权限过高且还没过期的SAS令牌时,管理员就很难发现。

在描述过往经历时,我们总会遇到下面的情景:

例如,2020 年 7 月 20 日微软 AI 开发人员首次将 SAS 令牌提交到 GitHub 存储库,并把权限到期日设为 2021 年 10 月 5 日;到了 2021 年 10 月 6 日,又把 SAS 令牌到期日更新为 2051 年 10 月 6 日。

从时间上来看,微软的这个 SAS 令牌没什么问题;但从权限范围和级别来看,其风险就很大了:不仅可以访问存储账户中的全部数据,该 SAS 令牌还被错误配置为“完全控制”权限而非“只读”权限。

这意味着,所有人不仅可以查看存储账户中的所有文件,都能随时删除、替换并向其中注入恶意内容。

对于这个隐患,Wiz 联想到了最初这个 GitHub 存储库的目的:提供用于图像识别的开源代码和 AI 模型。

对此,Wiz 提出了一种假设:“也就是说,攻击者可以将恶意代码注入该存储账户中的所有 AI 模型,而每个信任微软 GitHub 存储库的用户都会因此受到感染。”

03组织 AI 研究时注意安全检查和保护措施

不过值得注意的是,Wiz 指出这个存储账户似乎并没有直接暴露给公众:“事实上,这是一个私人存储账户。”

表面上看,微软开发人员使用了一种名为“SAS 令牌”的 Azure 机制,允许创建一个可共享的链接,授予对 Azure 存储账户数据的访问权限。但 Wiz 表示:在检查时,该存储账户看起来仍然是完全私有的。

微软配置错误致38TB内部数据泄露!

对于这个问题,微软安全响应中心也强调:“没有客户数据因此暴露,也没有其他内部服务因这个问题而面临风险。”

微软表示,根据 Wiz 的研究结果,它已经扩展了 GitHub 的秘密扫描服务,该服务可以监控所有公开源代码的更改,以防明文暴露凭证和其他机密,包括任何可能具有过度许可权限或过期的 SAS 令牌。

尽管此次事件并未造成严重后果,但 Wiz 依旧认为,这件事提醒了工程师们,在组织 AI 研究时,必须充分考虑到所需的安全措施——毕竟像微软这样的科技巨头,也会因为一个错误配置导致大规模的数据泄露:

“随着数据科学家和工程师竞相将新的 AI 解决方案投入生产,他们处理的海量数据需要额外的安全检查和保护措施。由于许多开发团队需要处理海量数据、与同行共享数据或在公共开源项目上合作,像微软这样的案例越来越难以监控和避免。”

04程序员岗位需求的激增

数据泄露事件的曝光引发了企业对数据安全的高度重视,从而导致程序员岗位需求的迅速增长。随着企业加大对数据保护的投入,对程序员的需求涵盖了从数据安全专家到网络安全工程师的各个层面。程序员们掌握着保护数据和网络安全的关键技能,他们的工作变得更加重要和抢手。

工信部预测,到2027年我国网络安全从业人员的需求数量将达到300万人,然而目前每年实际培养出的网络安全人才却不到5万人。

如此庞大的市场需求自然让网络安全人才尤为抢手,薪资可观。

05成为一名优秀程序员的要求

随着程序员岗位需求的激增,成为一名优秀程序员变得更具挑战性和竞争力。除了扎实的编程技能和深厚的技术功底外,程序员还需要具备良好的沟通能力、团队合作精神和对安全问题的敏感性。同时,不断学习和更新知识也是保持竞争力的关键,因为技术的发展变化日新月异,程序员需要不断跟进和适应新的技术趋势。

06程序员岗位的未来发展趋势

随着数据泄露事件的警示和企业对数据安全的重视,程序员岗位将继续迎来更多的机遇和挑战。未来,随着技术的不断演进,程序员们需要关注数据隐私保护、网络安全、人工智能等方面的知识和技能。同时,与其他领域的融合也将成为程序员发展的趋势,例如物联网、云计算和大数据等领域的交叉应用。

微软数据泄露事件的发生提醒了我们对数据安全的重视,同时也为程序员们带来了新的机遇和挑战。随着企业对数据安全需求的不断增长,程序员这一职业将变得越来越抢手。通过不断提升自身技能和知识,成为一名优秀的程序员,将拥有广阔的职业前景和发展空间。



Tags:数据泄露   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,不构成投资建议。投资者据此操作,风险自担。如有任何标注错误或版权侵犯请与我们联系,我们将及时更正、删除。
▌相关推荐
永久删除微信聊天记录的终极攻略:再也不怕数据泄露!
微信保存了我们大量的聊天记录,如果微信聊天记录过多,可能会导致手机运行缓慢或出现其他问题。这时候,删除一些不必要的聊天记录可以提高手机性能,释放存储空间。怎么永久性删除...【详细内容】
2024-01-22  Search: 数据泄露  点击:(80)  评论:(0)  加入收藏
大语言模型数据泄露堪忧,超自动化Agent成解决之道
文/王吉伟阻碍广大企业应用大语言模型(LLM,Large Langeuage Models)的诸多因素中,无疑数据安全是最重要的。3月份ChatGPT发生了用户隐私数据泄露事件,OpenAI声明由于开源代码库中...【详细内容】
2023-11-15  Search: 数据泄露  点击:(187)  评论:(0)  加入收藏
微软配置错误致38TB内部数据泄露!
多达 38TB 的微软内部数据遭泄露,起因竟只是一个小小的配置错误?——确实如此,你没看错。近日,云安全初创公司 Wiz Research 发布了一则公告:微软 AI 研究团队在 GitHu...【详细内容】
2023-10-15  Search: 数据泄露  点击:(168)  评论:(0)  加入收藏
导致数据泄露的常见云配置错误
作者 | Raj Rajamani策划 | 言征云已成为攻击者活动的新战场:CrowdStrike 观察到,从 2021 年到 2022 年,云利用增加了 95%,涉及直接针对云的威胁行为者的案件增加了 288%。保护...【详细内容】
2023-09-06  Search: 数据泄露  点击:(276)  评论:(0)  加入收藏
黑客软件 LetMeSpy 遭黑客入侵“黑吃黑”,大量黑客信息数据泄露
IT之家 6 月 30 日消息,LetMeSpy 是一个安卓平台的黑客软件,强调“隐蔽”、“难以察觉”,一旦该软件部署在手机上,他人即可追踪该手机上的一切通话记录、短信内容与 GPS 位置等...【详细内容】
2023-06-30  Search: 数据泄露  点击:(220)  评论:(0)  加入收藏
OpenAI:ChatGPT支付数据泄露系开源库漏洞
Redis开源库漏洞引发ChatGPT支付数据泄露。事件回顾3月20日,多名ChatGPT订阅用户称在其订阅页面看到了其他用户的邮箱地址。图 推特原文随后,OpenAI将ChatGPT下线并调查了这一...【详细内容】
2023-03-28  Search: 数据泄露  点击:(192)  评论:(0)  加入收藏
和8月事件存在关联,密码管理工具LastPass再次出现数据泄露
IT之家12月1日消息,援引国外科技媒体 The Verge 报道,密码管理工具LastPass再次出现数据泄露事件。该公司首席执行官卡里姆・图巴(KarimToubba)在今天发布的博文中表示,黑客访问...【详细内容】
2022-12-01  Search: 数据泄露  点击:(359)  评论:(0)  加入收藏
从 Uber 数据泄露事件我们可以学到什么?
Uber 数据泄露始于一名黑客从暗网市场购买属于一名 Uber 员工的被盗凭证。最初尝试使用这些凭据连接到 Uber 的网络失败,因为该帐户受 MFA 保护。为了克服这一安全障碍,黑客通...【详细内容】
2022-11-25  Search: 数据泄露  点击:(246)  评论:(0)  加入收藏
企业机构数据泄露的主要原因有哪些?
随着网络安全事件的频发,当前各行业的安全态势愈发严峻。数据泄露事件不断地登上头条新闻,从医疗信息、账户凭证、个人信息、企业电子邮件到企业内部敏感数据等等,不一而足。然...【详细内容】
2022-08-19  Search: 数据泄露  点击:(369)  评论:(0)  加入收藏
如果你换新手机,旧手机必做这2步处理!以免隐私数据泄露
通常我们买了新手机,会将旧手机的重要数据迁移到新手机上,再将旧手机里面的所有隐私数据删除掉,或者直接恢复出厂设置。 但是,这种方法却不能将数据彻底删除,恢复出厂设置也只是...【详细内容】
2021-10-22  Search: 数据泄露  点击:(508)  评论:(0)  加入收藏
▌简易百科推荐
保护隐私,从微信朋友圈开始
在这个信息化高速发展的时代,微信已经成为了我们生活中不可或缺的一部分。无论是工作沟通、亲友联络,还是日常的消遣娱乐,微信都扮演着重要的角色。而微信朋友圈,更是成为了我们...【详细内容】
2024-04-08    松鼠宝贝  Tags:微信朋友圈   点击:(5)  评论:(0)  加入收藏
加密领域的热门概念和创新应用
在当下快速发展的加密货币领域,BTC Layer 2(二层)概念、比特币商业场景型的应用、DePIN以及AI领域的全球GPU算力调度网等项目备受关注,被视为具有巨大潜力的创新方向。让我们一...【详细内容】
2024-03-20  曜楠科技    Tags:加密   点击:(17)  评论:(0)  加入收藏
让隐私数据不再裸奔!一文掌握加密技术,让你的隐私高枕无忧
随着互联网的普及和数字化进程的加速,加密技术已经成为我们生活中不可或缺的一部分。从保护个人隐私到保障国家安全,加密技术都发挥着至关重要的作用。今天,我们就来一起盘点一...【详细内容】
2024-02-19  媺媺熊    Tags:隐私数据   点击:(0)  评论:(0)  加入收藏
人人都该懂密码学,通用密码学原理与应用实战|完结无密
来百度APP畅享高清图片//下栽のke:http://quangneng.com/4061/标题:人人都该懂密码学:通用密码学原理与应用实战在当今数字化的世界中,密码学已经成为了信息安全的核心。不论是...【详细内容】
2024-02-06  阿小白    Tags:密码学   点击:(49)  评论:(0)  加入收藏
笔记本电脑如何设置开机密码
在信息化时代,笔记本电脑已经成为我们工作、学习和生活中不可或缺的工具。然而,与此同时,信息安全问题也日益突出。为了保护个人隐私和重要数据,设置开机密码成为了必不可少的一...【详细内容】
2024-01-30  雨后海棠    Tags:开机密码   点击:(29)  评论:(0)  加入收藏
什么是密钥扩展?如何确保密码安全?
译者 | 陈峻审校 | 重楼为了访问自己的数字账户,我们通常需要用到密码或口令。不过,正如现实生活中开锁的钥匙可能并不总是牢靠一样,并非所有的密码都是安全的。为了加强在线防...【详细内容】
2023-12-22    51CTO  Tags:密码   点击:(89)  评论:(0)  加入收藏
SQL注入漏洞的检测及防御方法
SQL注入(SQL Injection)是一种广泛存在于Web应用程序中的严重安全漏洞,它允许攻击者在不得到授权的情况下访问、修改或删除数据库中的数据。这是一种常见的攻击方式,因此数据库...【详细内容】
2023-12-01  兰花豆说网络安全  微信公众号  Tags:SQL注入   点击:(115)  评论:(0)  加入收藏
网络安全秘籍:打造隐私防护墙,保卫您的个人信息!
随着互联网的普及,越来越多的个人信息被储存在网络上。这些信息包括我们的通讯地址、购物记录、银行账号等,一旦被黑客窃取,后果将不堪设想。那么,如何保护个人隐私免受网络攻击...【详细内容】
2023-11-21  白面知识铺    Tags:网络安全   点击:(199)  评论:(0)  加入收藏
在数字时代,如何确保您的个人数据安全
随着我们生活中越来越多的信息数字化,个人隐私保护成为一个不容忽视的重要话题。无论是网络购物、社交媒体还是在线银行,我们的大量个人数据都在网络上流动。那么,如何保护我们...【详细内容】
2023-10-30  万花筒娱圈    Tags:个人数据   点击:(270)  评论:(0)  加入收藏
密码的末路!谷歌将密钥设为所有用户的默认登录方式
作者丨Carly Page编译丨诺亚近日,谷歌宣布,密钥正在成为所有用户的默认登录方法。因此,密钥也被这家科技巨头吹捧为密码“终结的开始”。密钥是一种防网络钓鱼的密码替代品,允许...【详细内容】
2023-10-19    51CTO  Tags:密钥   点击:(238)  评论:(0)  加入收藏
站内最新
站内热门
站内头条