微軟 AI 研究部門發生資料外洩事件
事件經過
據科技媒體報導,微軟的 AI 研究部門意外在 GitHub 上公開了數十 TB 的敏感資料,包括私鑰和密碼。這是由於他們在發布一個開源訓練資料儲存桶時,未正確配置 Azure Storage 的許可權。安全公司 Wiz 在進行雲端資料的意外外洩調查時,發現了微軟 AI 研究部門的 GitHub 儲存庫。
GitHub 儲存庫提供了開源程式碼和 AI 模型,用於影象識別,並指示讀者從 Azure Storage 的 URL 下載這些模型。但 Wiz 發現這個 URL 被配置成授予整個儲存帳戶的許可權,因此意外地暴露了其他私人資料。這些資料包括 38TB 的敏感訊息,包括兩位微軟員工的個人計算機備份。該資料還包含其他敏感個人資料,包括對微軟服務的密碼、金鑰以及來自數百名微軟員工的超過 30,000 條內部 Microsoft Teams 訊息。
根據 Wiz 的說法,這個 URL 從 2020 年開始就暴露了這些資料,而且配置錯誤,允許“完全控制”而不是“只讀”許可權。這意味著任何知道如何查詢的人都有可能刪除、替換和注入惡意內容。
Wiz 指出,儲存帳戶本身並未直接外洩,而是微軟 AI 開發人員在 URL 中包含了過於寬鬆的共享存取簽名(SAS)令牌。SAS 令牌是 Azure 的一種機制,允許使用者建立可共享的連結,以授予對 Azure 儲存帳戶資料的存取許可權。
教訓與思考
這起事件引發了人們對於資料安全性的關注。在大資料和人工智慧的時代,資料已經成為企業和研究機構最重要的資源之一。然而資料的價值也使其成為攻擊者的目標。這起事件提醒我們,在開發和應用 AI 解決方案的過程中,確保資料的安全性至關重要。
企業和研究機構應加固對於資料的保護,並制定嚴格的資料安全策略。同時開發人員和資料科學家在處理大量資料時,也需要更加重視安全檢查和防護措施。
對微軟(Microsoft)來說這起事件對其聲譽造成了一定的影響。儘管微軟聲稱沒有任何客戶資料暴露,也未給內部服務帶來風險,但資料遭到外洩的事實本身已經對其安全形象造成一定的損害。
此外這也提醒我們,大型科技公司應該更加注重對其內部開源程式碼和部門儲存庫的監控和審查。只有透過適當的安全措施和規範,才能有效保護資料並減少外洩風險。
建議與展望
針對這次事件,我們可以提出幾點建議:
1.強化資料安全意識
企業和研究機構應加固對資料安全的重視,提高員工對資料安全的意識。這包括教育員工有關資料保護和安全措施的最佳實踐以及建立合理的資料儲存和共享政策。
2.加固開發人員培訓
開發人員和資料科學家需要接受更多關於資料安全和隱私保護的培訓。他們應該理解安全原則和最佳實踐,並將其應用於日常開發和資料處理的工作中。
3.加固內部監控與審查
大型科技公司應該建立專門的團隊來監控和審查內部開源程式碼和儲存庫。他們應該定期進行安全檢查,發現和修復潛在的漏洞和配置問題。同時他們也應該與安全公司和研究機構合作,共同推進資料安全的研究和開發。
總之這次微軟 AI 研究部門資料外洩事件提醒我們,資料安全是當前科技發展中不可忽視的一個問題。企業和研究機構應該加固對資料安全的保護,開發人員和資料科學家應該掌握相關知識和技能。只有這樣,我們才能更好地利用人工智慧和大資料的潛力,實現科技的進步和社會的發展。
延伸閱讀
- 微軟加速 AI 研發程式,直指 OpenAI 競爭對手
- 特朗普政府削減預算,可能對 AI 研究帶來嚴重威脅!
- 微軟完成歐洲主權雲計劃,數位主權新時代來臨!
- 駭客攻擊澳洲 IVF 供應商 Genea,敏感病患資料遭公佈!
- 微軟刪除 AI 資料中心租賃,背後原因何在?
- OpenAI 計劃將計算需求從微軟轉移至軟銀,背後的戰略考量曝光!
- 微軟以 4 億瓦太陽能推動 AI 野心,綠能與科技結合的未來!
- 安杜利爾接管微軟 220 億美元的虛擬實境軍事頭盔計畫!揭祕未來戰爭的科技變革!
- 「MLCommons 與 Hugging Face 聯手推出龐大語音資料集,助力 AI 研究新境界!」
- 微軟新成立 AI 影響研究單位,探索科技未來的潛力!
