根据云安全公司 Wiz 的最新报告披露，微软人工智能研究团队意外泄露了 38TB 的公司私人数据。

毫无疑问，38 TB是一个非常庞大的数据总量。

被泄露的数据包括微软两名员工电脑的完整备份。这些备份包含了敏感的个人数据，还包括微软服务的密码、密钥以及来自 350 多名微软员工的 30,000 多条内部 Microsoft Teams 消息。

那么，这是怎么发生的呢？

据报告内容说，微软的人工智能团队上传了一系列的训练数据，其中包含用于图像识别的开源代码和人工智能模型。微软的云存储服务 Azure 向访问 Github 仓库的用户提供了一个链接，以便下载这些模型。

问题就出在这个链接上。

微软AI团队提供的链接可以让访问者完全访问整个 Azure 存储账户。访问者不仅可以查看账户中的所有内容，还可以上传、覆盖或删除文件。

Wiz 报告说，之所以出现这样的情况，是因为 Azure 的一项名为共享访问签名（SAS）令牌的功能造成的，该令牌是 "授予 Azure 存储数据访问权限的签名 URL"。SAS 令牌可以设置为限制访问哪些文件。但是，这个特定链接被配置为完全访问了。

更可怕的是，这些数据似乎自 2020 年以来就一直暴露在外，也就是说3年之后才被发现！

今年 6 月 22 日，Wiz 联系了微软，就他们的发现提出了警示。两天后，微软通过操作，让 SAS 的令牌失效，解决了这个问题。微软于 8 月份开展并完成了对潜在影响的调查。

微软向 TechCrunch 提供了一份声明，声称 "没有客户数据被暴露，也没有其他内部服务因为这个问题而面临风险"。

文章转载自”mashable“