微软AI团队 GitHub 的数据暴露事件,其中包括 3万多条内部 Microsoft Teams消息,是由一个配置错误的SAS令牌引起的。
Wiz 的研究人员在 9 月 18 日的一篇博文中说,他们发现微软的AI团队在 GitHub 上发布一个开源训练数据时,意外暴露了 38 TB 的额外隐私数据,其中包括两名员工工作站的磁盘备份。
研究人员解释说,SAS令牌是一个经过签名的 URL,它允许访问 Azure 存储数据。用户可以自定义这种访问级别,权限从只读到完全控制不等,范围可以是单个文件、容器或整个存储账户。
Wiz 的研究人员进一步解释说,过期时间也可以自定义,这样用户就可以创建永不过期的访问令牌。虽然这为用户提供了极大的灵活性,但也带来了授予过多访问权限的风险–Wiz 报告的微软 SAS 令牌配置错误就是这种情况。
Wiz 的研究人员写道:由于缺乏监控和管理,SAS令牌存在安全风险,应尽可能限制其使用。这些令牌很难跟踪,因为微软没有在 Azure 门户中提供集中管理这些令牌的方法。此外,这些 SAS 令牌可以配置为永久有效,没有过期时间。因此,使用账户SA 令牌进行外部共享是不安全的,应该避免。
发布者:Tao, Leslie,转载请注明出处:www.afndaily.com
