Microsofts KI-Forschungsabteilung steht auf dem Prüfstand nachdem versehentlich unglaubliche 38 Terabyte sensibler KI-Trainingsdaten offengelegt wurden. Techcrunch berichtet, dass die Daten, die Teil der Open-Source-Schulungsdaten auf GitHub sein sollten, die geplanten KI-Modelle und PC-Backups von Microsoft-Mitarbeitern, Passwörter für verschiedene Microsoft-Dienste, geheime Schlüssel und ein umfangreiches Archiv interner Daten umfassten Microsoft Teams-Nachrichten.
Die Hauptursache für diese massive Offenlegung wurde auf die Verwendung der „SAS-Tokens“ von Azure zurückgeführt, die so konfiguriert waren, dass sie „vollständige Kontrolle“ über das gesamte Speicherkonto gewähren, und nicht wie beabsichtigt „schreibgeschützter“ Zugriff.
Falsch konfigurierte SAS-Token
Shared Access Signature (SAS)-Token sind eine Funktion der Azure Cloud von Microsoft, die es Benutzern ermöglicht, Links zu erstellen, die Zugriff auf die Daten eines Azure Storage-Kontos gewähren. Allerdings Bei einer Fehlkonfiguration können diese Token ein erhebliches Sicherheitsrisiko darstellen. Die Microsoft AI-Entwickler haben in diesem Fall ein übermäßig freizügiges SAS-Token in die URL eingefügt, was zu einer unbeabsichtigten Offenlegung führte. Das Cloud-Sicherheitsunternehmen Wiz, das die Fehlkonfiguration entdeckte, betonte die Herausforderungen bei der Überwachung und dem Widerruf solcher Token. Sie betonten, dass diese Token aufgrund der fehlenden zentralen Verwaltung im Azure-Portal schwer zu verfolgen seien. Darüber hinaus können sie so eingestellt werden, dass sie unbegrenzt gültig sind, was ihre Verwendung für die externe Weitergabe zu einem potenziellen Sicherheitsrisiko macht.
Nachwirkungen und Reaktion von Microsoft
Nachdem Wiz das Versehen entdeckt hatte, meldete er das Problem umgehend im Juni 2023 an Microsoft. Microsoft reagierte schnell und Widerruf des SAS-Tokens innerhalb von zwei Tagen, wodurch der externe Zugriff auf das Azure-Speicherkonto blockiert wird. Nach einer internen Untersuchung bestätigte Microsoft, dass durch den Vorfall keine Kundendaten kompromittiert wurden und keine anderen internen Dienste gefährdet waren. Als vorbeugende Maßnahme hat Microsoft den geheimen Scan-Dienst von GitHub erweitert, um Änderungen am öffentlichen Open-Source-Code auf mögliche Offenlegung von Anmeldeinformationen und anderen Geheimnissen zu überwachen, insbesondere solche im Zusammenhang mit SAS-Tokens.
