多達 38TB 的微軟內(nèi)部數(shù)據(jù)遭泄露,起因竟只是一個小小的配置錯誤?——確實如此,你沒看錯。
近日,云安全初創(chuàng)公司 Wiz Research 發(fā)布了一則公告:微軟 AI 研究團隊在 Github 上發(fā)布大量開源培訓(xùn)數(shù)據(jù)時,意外暴露了 38TB 的額外私人數(shù)據(jù),其中還有兩名員工工作站的磁盤備份,包括了機密信息、私鑰、密碼和超過30000條內(nèi)部 Microsoft Teams 消息。
微軟公司發(fā)生了一起驚人的安全漏洞,由于配置錯誤,導(dǎo)致38TB的內(nèi)部數(shù)據(jù)被泄露。這一事件引發(fā)了廣泛的關(guān)注和擔(dān)憂,同時也推動了程序員這一崗位的需求飆升,成為了當(dāng)下備受追捧的熱門職業(yè)。本文將深入探討微軟數(shù)據(jù)泄露事件的影響,并剖析程序員崗位的迅猛發(fā)展,為讀者呈現(xiàn)一個全面的視角。
而這一切的源頭,僅是一個配置錯誤的共享訪問簽名(SAS)令牌。
網(wǎng)絡(luò)安全的重要性,不言而喻。
0138TB 內(nèi)部數(shù)據(jù)遭泄露!
據(jù) Wiz 介紹,微軟這場規(guī)模龐大的數(shù)據(jù)泄露,早在2020年7月就存在了,只是在今年6月才被 Wiz 發(fā)現(xiàn)。
作為 Wiz 研究團隊工作的一部分,他們會查找云托管數(shù)據(jù)意外暴露的情況,在互聯(lián)網(wǎng)上掃描配置錯誤的存儲容器。在此過程中,今年6月 Wiz 發(fā)現(xiàn)了一個屬于微軟 AI 研究部門的 GitHub 存儲庫。
這個 GitHub 存儲庫提供了用于圖像識別的開源代碼和 AI 模型,并引導(dǎo)開發(fā)者前往微軟云存儲系統(tǒng) Azure Storage 的 URL,來下載相關(guān)代碼和開源模型:
乍看之下,這個 URL 沒有任何問題,但 Wiz 卻發(fā)現(xiàn):該 URL 中包含了一個訪問范圍過于寬松的共享訪問簽名(SAS)令牌,被錯誤配置為授予整個 Azure 存儲賬戶的權(quán)限——也就是說,點擊該鏈接的人不僅可以訪問開源模型,更可以共享該 Azure 存儲賬戶中的全部數(shù)據(jù)!
根據(jù) Wiz 掃描顯示,該 Azure 存儲賬戶包含 38TB 的額外數(shù)據(jù),其中包括微軟員工的個人電腦備份。這些備份包含敏感的個人數(shù)據(jù),包括微軟服務(wù)的密碼、密鑰以及來自 359 名微軟員工的 30000 多條內(nèi)部 Microsoft Teams 消息。
在計算機備份中找到的一小部分敏感文件樣本
兩名微軟員工之間經(jīng)過編輯的團隊對話。
02“權(quán)限過大”的 SAS 令牌
說了這么久,那SAS令牌到底是什么呢?
具體來說,共有3種類型的SAS令牌:賬戶SAS、服務(wù)SAS和用戶授權(quán) SAS。而此次用于微軟存儲庫中的,正是賬戶SAS令牌。
在Azure中,SAS令牌是一個經(jīng)過簽名的URL,可授予對Azure存儲數(shù)據(jù)的訪問權(quán)限,其訪問范圍和到期時間都可以由用戶自定義:
- 權(quán)限可以選擇“只讀”和“完全控制”,范圍可以是單個文件、容器或整個存儲賬戶;
- 到期時間也完全可定制,用戶可以創(chuàng)建永不過期的訪問令牌。
生成賬戶SAS令牌的過程很簡單,用戶只需配置令牌的范圍、權(quán)限和到期日期,即可生成令牌。在后臺,瀏覽器會從Azure下載賬戶密鑰,并用密鑰簽署生成的令牌——整個過程在客戶端完成,既不是Azure發(fā)起的事件,生成的令牌也不是Azure對象。
但也正因如此,一旦用戶創(chuàng)建了一個權(quán)限過高且還沒過期的SAS令牌時,管理員就很難發(fā)現(xiàn)。
在描述過往經(jīng)歷時,我們總會遇到下面的情景:
例如,2020 年 7 月 20 日微軟 AI 開發(fā)人員首次將 SAS 令牌提交到 GitHub 存儲庫,并把權(quán)限到期日設(shè)為 2021 年 10 月 5 日;到了 2021 年 10 月 6 日,又把 SAS 令牌到期日更新為 2051 年 10 月 6 日。
從時間上來看,微軟的這個 SAS 令牌沒什么問題;但從權(quán)限范圍和級別來看,其風(fēng)險就很大了:不僅可以訪問存儲賬戶中的全部數(shù)據(jù),該 SAS 令牌還被錯誤配置為“完全控制”權(quán)限而非“只讀”權(quán)限。
這意味著,所有人不僅可以查看存儲賬戶中的所有文件,都能隨時刪除、替換并向其中注入惡意內(nèi)容。
對于這個隱患,Wiz 聯(lián)想到了最初這個 GitHub 存儲庫的目的:提供用于圖像識別的開源代碼和 AI 模型。
對此,Wiz 提出了一種假設(shè):“也就是說,攻擊者可以將惡意代碼注入該存儲賬戶中的所有 AI 模型,而每個信任微軟 GitHub 存儲庫的用戶都會因此受到感染。”
03組織 AI 研究時注意安全檢查和保護措施
不過值得注意的是,Wiz 指出這個存儲賬戶似乎并沒有直接暴露給公眾:“事實上,這是一個私人存儲賬戶。”
表面上看,微軟開發(fā)人員使用了一種名為“SAS 令牌”的 Azure 機制,允許創(chuàng)建一個可共享的鏈接,授予對 Azure 存儲賬戶數(shù)據(jù)的訪問權(quán)限。但 Wiz 表示:在檢查時,該存儲賬戶看起來仍然是完全私有的。
對于這個問題,微軟安全響應(yīng)中心也強調(diào):“沒有客戶數(shù)據(jù)因此暴露,也沒有其他內(nèi)部服務(wù)因這個問題而面臨風(fēng)險。”
微軟表示,根據(jù) Wiz 的研究結(jié)果,它已經(jīng)擴展了 GitHub 的秘密掃描服務(wù),該服務(wù)可以監(jiān)控所有公開源代碼的更改,以防明文暴露憑證和其他機密,包括任何可能具有過度許可權(quán)限或過期的 SAS 令牌。
盡管此次事件并未造成嚴(yán)重后果,但 Wiz 依舊認為,這件事提醒了工程師們,在組織 AI 研究時,必須充分考慮到所需的安全措施——畢竟像微軟這樣的科技巨頭,也會因為一個錯誤配置導(dǎo)致大規(guī)模的數(shù)據(jù)泄露:
“隨著數(shù)據(jù)科學(xué)家和工程師競相將新的 AI 解決方案投入生產(chǎn),他們處理的海量數(shù)據(jù)需要額外的安全檢查和保護措施。由于許多開發(fā)團隊需要處理海量數(shù)據(jù)、與同行共享數(shù)據(jù)或在公共開源項目上合作,像微軟這樣的案例越來越難以監(jiān)控和避免。”
04程序員崗位需求的激增
數(shù)據(jù)泄露事件的曝光引發(fā)了企業(yè)對數(shù)據(jù)安全的高度重視,從而導(dǎo)致程序員崗位需求的迅速增長。隨著企業(yè)加大對數(shù)據(jù)保護的投入,對程序員的需求涵蓋了從數(shù)據(jù)安全專家到網(wǎng)絡(luò)安全工程師的各個層面。程序員們掌握著保護數(shù)據(jù)和網(wǎng)絡(luò)安全的關(guān)鍵技能,他們的工作變得更加重要和搶手。
工信部預(yù)測,到2027年我國網(wǎng)絡(luò)安全從業(yè)人員的需求數(shù)量將達到300萬人,然而目前每年實際培養(yǎng)出的網(wǎng)絡(luò)安全人才卻不到5萬人。
如此龐大的市場需求自然讓網(wǎng)絡(luò)安全人才尤為搶手,薪資可觀。
05成為一名優(yōu)秀程序員的要求
隨著程序員崗位需求的激增,成為一名優(yōu)秀程序員變得更具挑戰(zhàn)性和競爭力。除了扎實的編程技能和深厚的技術(shù)功底外,程序員還需要具備良好的溝通能力、團隊合作精神和對安全問題的敏感性。同時,不斷學(xué)習(xí)和更新知識也是保持競爭力的關(guān)鍵,因為技術(shù)的發(fā)展變化日新月異,程序員需要不斷跟進和適應(yīng)新的技術(shù)趨勢。
06程序員崗位的未來發(fā)展趨勢
隨著數(shù)據(jù)泄露事件的警示和企業(yè)對數(shù)據(jù)安全的重視,程序員崗位將繼續(xù)迎來更多的機遇和挑戰(zhàn)。未來,隨著技術(shù)的不斷演進,程序員們需要關(guān)注數(shù)據(jù)隱私保護、網(wǎng)絡(luò)安全、人工智能等方面的知識和技能。同時,與其他領(lǐng)域的融合也將成為程序員發(fā)展的趨勢,例如物聯(lián)網(wǎng)、云計算和大數(shù)據(jù)等領(lǐng)域的交叉應(yīng)用。
微軟數(shù)據(jù)泄露事件的發(fā)生提醒了我們對數(shù)據(jù)安全的重視,同時也為程序員們帶來了新的機遇和挑戰(zhàn)。隨著企業(yè)對數(shù)據(jù)安全需求的不斷增長,程序員這一職業(yè)將變得越來越搶手。通過不斷提升自身技能和知識,成為一名優(yōu)秀的程序員,將擁有廣闊的職業(yè)前景和發(fā)展空間。
