微軟 AI 研究部門發生資料外洩事件
事件經過
據科技媒體報導,微軟的 AI 研究部門意外在 GitHub 上公開了數十 TB 的敏感資料,包括私鑰和密碼。這是由於他們在發布一個開源訓練資料儲存桶時,未正確配置 Azure Storage 的許可權。安全公司 Wiz 在進行雲端資料的意外外洩調查時,發現了微軟 AI 研究部門的 GitHub 儲存庫。
GitHub 儲存庫提供了開源程式碼和 AI 模型,用於影象識別,並指示讀者從 Azure Storage 的 URL 下載這些模型。但 Wiz 發現這個 URL 被配置成授予整個儲存帳戶的許可權,因此意外地暴露了其他私人資料。這些資料包括 38TB 的敏感訊息,包括兩位微軟員工的個人計算機備份。該資料還包含其他敏感個人資料,包括對微軟服務的密碼、金鑰以及來自數百名微軟員工的超過 30,000 條內部 Microsoft Teams 訊息。
根據 Wiz 的說法,這個 URL 從 2020 年開始就暴露了這些資料,而且配置錯誤,允許“完全控制”而不是“只讀”許可權。這意味著任何知道如何查詢的人都有可能刪除、替換和注入惡意內容。
Wiz 指出,儲存帳戶本身並未直接外洩,而是微軟 AI 開發人員在 URL 中包含了過於寬鬆的共享存取簽名(SAS)令牌。SAS 令牌是 Azure 的一種機制,允許使用者建立可共享的連結,以授予對 Azure 儲存帳戶資料的存取許可權。
教訓與思考
這起事件引發了人們對於資料安全性的關注。在大資料和人工智慧的時代,資料已經成為企業和研究機構最重要的資源之一。然而資料的價值也使其成為攻擊者的目標。這起事件提醒我們,在開發和應用 AI 解決方案的過程中,確保資料的安全性至關重要。
企業和研究機構應加固對於資料的保護,並制定嚴格的資料安全策略。同時開發人員和資料科學家在處理大量資料時,也需要更加重視安全檢查和防護措施。
對微軟(Microsoft)來說這起事件對其聲譽造成了一定的影響。儘管微軟聲稱沒有任何客戶資料暴露,也未給內部服務帶來風險,但資料遭到外洩的事實本身已經對其安全形象造成一定的損害。
此外這也提醒我們,大型科技公司應該更加注重對其內部開源程式碼和部門儲存庫的監控和審查。只有透過適當的安全措施和規範,才能有效保護資料並減少外洩風險。
建議與展望
針對這次事件,我們可以提出幾點建議:
1.強化資料安全意識
企業和研究機構應加固對資料安全的重視,提高員工對資料安全的意識。這包括教育員工有關資料保護和安全措施的最佳實踐以及建立合理的資料儲存和共享政策。
2.加固開發人員培訓
開發人員和資料科學家需要接受更多關於資料安全和隱私保護的培訓。他們應該理解安全原則和最佳實踐,並將其應用於日常開發和資料處理的工作中。
3.加固內部監控與審查
大型科技公司應該建立專門的團隊來監控和審查內部開源程式碼和儲存庫。他們應該定期進行安全檢查,發現和修復潛在的漏洞和配置問題。同時他們也應該與安全公司和研究機構合作,共同推進資料安全的研究和開發。
總之這次微軟 AI 研究部門資料外洩事件提醒我們,資料安全是當前科技發展中不可忽視的一個問題。企業和研究機構應該加固對資料安全的保護,開發人員和資料科學家應該掌握相關知識和技能。只有這樣,我們才能更好地利用人工智慧和大資料的潛力,實現科技的進步和社會的發展。
延伸閱讀
- 微軟成功閃過英國反壟斷調查:Mistral AI 投資引發話題
- 歐盟警告微軟 或因未提供 GenAI 風險訊息而可能被處以數十億歐元的罰款
- 微軟將於下週在 Azure 上推出定製的鈷晶片
- 微軟將於七月推出手機遊戲商店
- 微軟和 OpenAI 啟動 200 萬美元基金以對抗選舉假影片
- 微軟禁止美國警方使用企業 AI 工具進行臉部辨識
- 微軟選擇與 Sanctuary AI 合作進行通用機器人研究
- 英國調查亞馬遜和微軟與 Mistral、Anthropic 和 Inflection 的 AI 合作關係
- 美國中國關係日益惡化:微軟支付 15 億美元給 G42
- 醫療資訊科技公司遭勒索軟體入侵,患者敏感資料外洩