一個小小的設置失誤，導致微軟（Nasdaq：MSFT）在近三年的時間里將高達38TB的內部數據暴露在外。

當地時間9月18日，云安全公司Wiz發表研究報告稱，此前，公司在對云托管數據的泄露問題進行持續調查時，發現微軟AI（人工智能）研究團隊在Github發布開源訓練數據時意外泄露了38TB的隱私數據。

微軟表示，沒有客戶數據在此次事件中遭到泄露。

導致該次數據泄露的源頭讓人哭笑不得。微軟在GitHub存儲庫中提供了一個屬于微軟云存儲系統Azure Storage的網址鏈接，可以用來下載開源代碼和用于圖像識別的AI模型。然而，由于微軟的AI開發人員在網址中包含了一個過于寬松的共享訪問簽名（SAS）令牌，此鏈接竟被設置成授予整個存儲賬戶的權限。也就是說，點進該鏈接的任何人都能訪問與之相關的存儲賬戶的全部內容。

更可怕的是，該鏈接給與訪問者的權限不是只能觀看、不能修改的“只讀”，而是“完全控制”，意味著任何人都有可能在整個賬戶中刪除、替換或添加惡意內容。

在受到影響的全部數據中，包括了兩名微軟員工的個人電腦備份，還有用于微軟服務的密碼、秘鑰以及Teams上來自359名微軟員工的超三萬條內部群聊消息。

Wiz表示，這個網址鏈接從2020年就開始暴露數據，直到Wiz發現該問題并在今年6月22日和微軟分享了研究成果。微軟在兩天后的6月24日撤銷了有問題的SAS令牌，并在今年8月16日完成了對組織內部潛在影響的調查。

對于此事，微軟發言人表示，微軟已確認沒有用戶數據遭到泄露，也沒有其他內部服務受到威脅。

微軟安全響應中心在當日發布的博客文章中表示，收到Wiz的研究結果之后，他們已經改進了GitHub的秘密掃描服務，該服務能夠監控所有公開的開源代碼改動，其中包括那些過于寬松的SAS令牌。

這起事件再一次引起了對于AI數據安全問題的關注。

Wiz的聯合創始人兼首席技術官阿米·盧特瓦克（Ami Luttwak）指出：“很多開發團隊都需要處理大規模的數據，需要與同事共享數據或在公共開源項目上進行合作，像微軟這樣的案例將會變得越來越難以監控和避免。”

在2021年，Wiz就曾指出過微軟Azure基礎設施中的一個“超級漏洞”，其開源應用Jupyter Notebook功能中的一系列錯誤配置讓黑客能夠訪問、修改和刪除數千名Azure客戶的數據。隨后，微軟發布聲明稱該問題已得到解決，并用電子郵件通知了數千名受其影響的云客戶。