微软 GitHub 仓库数据暴露事件分析

关键要点

微软 AI GitHub 仓库因误配置的共享访问签名 (SAS) 令牌导致超过 30000 条内部 Teams 消息泄露。数据泄露包括 38 TB 的敏感信息，涉及两名员工的工作站备份。SAS 令牌虽为便捷工具，但管理不当可能导致重大安全风险。

近日，在微软的 AI GitHub 仓库中发现了一个数据暴露事件，涉及到超过 30000 条内部 Microsoft Teams 消息，这一事件的主要原因是一个配置错误的共享访问签名 (SAS) 令牌。

在一篇于 9 月 18 日发布的博客文章中，Wiz 的研究人员表示，他们在发布一份开源训练数据时，不小心曝光了 38 TB 的敏感数据，其中还包括两名员工工作站的磁盘备份。

研究人员解释，SAS 令牌是一个经过签名的 URL，用于授予访问 Azure 存储数据的权限。用户可以根据实际需求定制权限，权限范围可以从只读到完全控制，而作用域可以是单个文件、一个容器或整个存储账户。

Wiz 的研究人员进一步解释指出，SAS 令牌的过期时间也是可定制的，用户可以创建永不过期的访问令牌。虽然这种灵活性为用户提供了极大的便利，但也增加了授予过多访问权限的风险就像Wiz所报道的错误配置的 SAS 令牌事件。

“由于缺乏监控和治理，SAS 令牌存在安全风险，使用应尽量限制。”Wiz 的研究人员写道。“这些令牌很难跟踪，因为微软并未在 Azure 门户中提供集中管理的方法。此外，SAS 令牌可以配置为永续有效，没有上限的过期时间。因此，使用账户 SAS 令牌进行外部分享是不安全的，应避免。”

Promon 的高级技术总监 Andrew Whaley 表示，如果不加以管理，SAS 令牌是一个重大的网络安全风险。他指出，虽然这些令牌对协作和数据共享来说是有价值的工具，但如果配置错误或处理不当，也会变成双刃剑。

黑洞加速器每天三小时

“当过于宽松的 SAS 令牌被发放或意外曝光时，就像自愿将前门钥匙交给小偷一样。”Whaley 表示。“如果微软能加强访问控制、定期审计并撤销未使用的令牌，以及全面教育员工保护这些凭证的重要性，这次泄露是可以避免的。此外，持续监控和自动化工具以检测过于宽松的 SAS 令牌也能防止此类失误。”

Symmetry Systems 的联合创始人兼首席执行官 Mohit Tiwari 解释说，SAS 令牌的风险在于它们类似于管理员发放的共享链接，但却没有好的方式来追踪。他强调，组织必须明确了解自己拥有的数据、谁可以访问这些数据以及数据如何被访问。

“Wiz所识别的问题并不是云态势的问题。”Tiwari 说道。“这实际上是一个数据清单和访问权限的问题。”