微軟人工智慧研究人員在GitHub上發布一個開源訓練資料儲存桶時，意外暴露了數十TB的敏感數據，其中包括私鑰和密碼。雲端安全新創公司Wiz在與TechCrunch分享的研究報告中稱，它發現了一個屬於微軟人工智慧研究部門的GitHub儲存庫，這是其正在進行的雲端託管資料意外暴露工作的一部分。

這個GitHub 儲存庫提供了用於圖像識別的開源程式碼和人工智慧模型，它指示讀者從Azure 儲存的URL 下載模型。然而，Wiz 發現該URL 被配置為授予整個儲存帳戶的權限，從而錯誤地暴露了更多私人資料。

這些數據包括38 TB 的敏感信息，其中包括兩名微軟員工個人電腦的個人備份。這些數據還包含其他敏感的個人數據，包括微軟服務的密碼、金鑰以及數百名微軟員工的30000 多條內部Microsoft Teams 訊息。據Wiz 稱，從2020 年開始就暴露了這些數據的URL 也被錯誤地配置為允許”完全控制”而非”只讀”權限，這意味著任何知道在哪裡查看的人都有可能刪除、替換和注入惡意內容。Wiz 指出，儲存帳戶並沒有直接暴露。相反，微軟人工智慧開發人員在URL中加入了一個過度授權的共享存取簽章（SAS）令牌。SAS 令牌是Azure 使用的一種機制，它允許使用者建立可共享的鏈接，授予對Azure 儲存帳戶資料的存取權限。Wiz 聯合創始人兼首席技術長阿米-盧特瓦克（Ami Luttwak）介紹說：”人工智慧為科技公司釋放了巨大的潛力。然而，隨著資料科學家和工程師競相將新的人工智慧解決方案投入生產，他們所處理的大量資料需要額外的安全檢查和保護措施。由於許多開發團隊需要處理大量資料、與同行共享資料或在公共開源專案上合作，像微軟這樣的案例越來越難以監控和避免。”Wiz表示，它在6月22日與微軟分享了調查結果，微軟在兩天後的6月24日撤銷了SAS代幣。微軟表示，它已在8 月16 日完成了對潛在組織影響的調查。微軟安全響應中心在發表前分享的一篇部落格文章中說，”沒有客戶資料暴露，也沒有其他內部服務因為這個問題而面臨風險”。微軟表示，根據Wiz 的研究結果，它已經擴展了GitHub 的秘密掃描服務，該服務可以監控所有公開開源程式碼的變更，以防明文暴露憑證和其他秘密，包括任何可能具有過度許可過期或權限的SAS令牌。