微软的人工智能研究员在 GitHub 上发布开源训练数据存储桶时，意外暴露了数十 TB 的敏感数据，包括私钥和密码。

　　云安全初创公司 Wiz 发现了这个属于微软 AI 研究部门的 GitHub 仓库，并将其作为其持续进行的云托管数据意外曝光工作的一部分分享给 TechCrunch。

　　该 GitHub 仓库提供了用于图像识别的开源代码和 AI 模型，要求读者从 Azure Storage URL 下载模型。然而，Wiz 发现该 URL 配置为授予整个存储账户权限，因此错误地公开了其他私密数据。

　　这些数据包括 38TB 敏感信息，其中包括两名微软员工个人电脑备份文件、Microsoft 服务密码、秘密密钥以及来自数百名微软员工的超过 30,000 条内部 Microsoft Teams 消息等其他敏感个人信息。

　　根据 Wiz 所说，「full control」而非「read-only」权限被误配置到该 URL 中。这意味着任何知道如何查找它们的人都可能删除、替换或注入恶意内容。

　　Wiz 指出存储账户并未直接暴露。相反，在 URL 中加入一个过度宽松共享访问签名 (SAS) token 是导致泄漏的原因。SAS token 是 Azure 使用的一种机制，允许用户创建可共享链接以授予对 Azure 存储账户数据的访问权限。

　　Wiz 表示已于 6 月 22 日与微软分享了其发现，并于两天后在 6 月 24 日吊销了 SAS token。微软称已于 8 月 16 日完成了对潜在组织影响的调查。

　　Microsoft 安全响应中心在发布给 TechCrunch 之前的博客文章中表示，「没有暴露任何客户数据，也没有因此问题而使其他内部服务面临风险。」

　　微软表示，由于 Wiz 的研究，它已经扩展了 GitHub 的秘密扫描服务，该服务可以监控所有公开源代码的更改，以防明文暴露凭证和其他秘密，包括任何可能具有过度许可过期或权限的 SAS token。