微软意外泄露大量数据涉及私钥、密码及3 万条内部Teams 消息

        9月18日，一家名为Wiz Research的云安全初创公司发布研究报告，指出微软的人工智能（AI）研究团队在GitHub上的大量私人数据缓存被意外泄露。这一事件由一个配置错误的SAS令牌引发，暴露了38TB的其他内部数据，其中包含微软两名员工的个人电脑磁盘备份。

        该仓库的用户被敦促从云存储URL下载人工智能模型。但根据Wiz的文章，它被错误地配置为授予对整个存储帐户的权限，并且它还授予用户完全控制权限，而不是只读权限，这意味着他们可以删除和覆盖现有文件。据Wiz称，泄露的数据包括微软员工的个人电脑备份，其中包含微软服务的密码、密钥和来自359名微软员工的3万多条微软团队内部消息。

对此，微软做出回应，表示已撤销SAS令牌并完成潜在影响的内部调查。他们强调，没有客户数据因此暴露，也没有其他微软服务因该问题而陷于危险之中。

Wiz的研究人员表示，开放数据共享是人工智能培训的关键组成部分，但如果共享不当，共享大量数据会使公司面临更大的风险。Wiz首席技术官兼联合创始人Ami Luttwak说，Wiz在6月份与微软分享了这些数据，微软迅速采取行动删除了暴露的数据。他补充说，这起事件“本来可能会更糟”。

据微软官网发布的相关消息表示：

没有公开户数据，也没有其他内部服务因此问题而面临风险。不需要客户采取任何措施来应对此问题。我们分享以下经验教训和最佳实践，以告知我们的客户，并帮助他们避免在未来发生类似事件。

SAS令牌提供了一种机制来限制访问，并允许某些客户端连接到指定的AZure存储资源。在这种情况下，微软的一名研究人员无意中将这个SAS令牌包含在个blob存储URL中，同时为开源的A学习模型做出了贡献，并在一个公共的GitHub存储库中提供了URL。Azure存储或SAS令牌功能中不存在安全问题或漏洞。像其他秘密一样，应该正确地创建和管理SAS令牌。此外，我们正在不断改进，以进步加强SAS令牌功能，并继续评估服务，以支持我们的默认安全态势。

在发现该漏洞后，Wiz于2023年6月22日向Microsof安全响应中心(MSRC)报告了该问题。接到通知后，MSRC与相关研究和工程团队合作，撤销了SAS令牌，并阳止了对存储账户的所有外部访问，从而在2023年6月24日缓解了该问题。然后进行了额外的调查，以解对客户和/或业务连续性的任何潜在影响。我们的调查结论是，客户不会因为这种暴露而面临风险。

整个事件的具体时间线如下：

　　2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub；到期日定为 2021 年 10 月 5 日

　　2021 年 10 月 6 日- SAS 令牌到期日更新为 2051 年 10 月 6 日

　　2023 年 6 月 22 日- Wiz Research 发现问题并向微软报告

　　2023 年 6 月 24 日- 微软宣布 SAS 令牌失效

　　2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替换

　　2023 年 8 月 16 日- 微软完成对潜在影响的内部调查

　　2023 年 9 月 18 日- Wiz Research 公开披露此事

参考原文：

As part of a recent Coordinated Vulnerability Disclosure (CVD) report from Wizio, Microsoft investigated and remediated an incident involving aMicrosoft employee who shared a URL for a blob store in a public Git-u repository while contributing to open-source Al learning models. This URinc uded an overy-ermisive Shared Access Sionature (SAs) toxen for an interna storae account, Securty researchers at Wiz were then able to usethis token to access information in the storage account, Data exposed in this storage account included backups of two former emplovees' workstatiorDrofles and internal Microsoft Teams meages of these two employees with their coleaques, No customer data was exposed, and no othernternal services were put at risk because of this issue. No customer action is required in response to this issue. We are sharing the learningsand best practices below to inform our customers and help them avoid similar incidents in the future.

SAS tokens provide a mechanism to restrict access and allow certain clients to connect to specified Azure Storage resources. ln this case, a researcherat Microsoft inadvertently incuded this SAS token in a blob store URL while contrbuting to open-source Al learing models and provided the URl ina public GitHub repository, There was no security issue or vulnerability within Azure Storage or the SAS token feature. like other secrets, SAS tokensshould be created and managed properly, Additionally we are making ongoing improvements to further harden the SAS token feature and continueto evaluate the service to bolster our secure-by-default posture.

After identifying the exposure, Wiz reported the issue to the Microsoft Security Response Center (MSRC on June 22nd 2023. Once notified. MSRCworked with the relevant research and engineering teams to revoke the SAS token and prevent allexternal access to the storage account, mitigatingthe isue on June 24 2023. Additional investigation then took place to understand any potential impact to our customers and/or business continuityOur investiaation concluded that there was no risk to customers as a result of this exposure