微軟AI團隊疏忽 洩密3年 錯配SAS令牌 38TB數據任睇

原文刊於信報財經新聞「EJ Tech 創科鬥室

企業發生資料外洩事故,固然有可能是黑客入侵所致,但員工疏忽造成漏洞,往往也是重要原因之一。美國網絡安全公司Wiz爆料,微軟人工智能(AI)團隊於軟件代碼託管平台GitHub,從2020年7月開始洩漏了38TB敏感數據,包括微軟服務的密碼及金鑰、兩名前員工的電腦備份,以及來自359名員工的3萬多條Teams對話紀錄。Wiz研究團隊今年6月揭發漏洞後,隨即向Microsoft安全響應中心報告。

微軟周一(18日)確認資料外洩,強調客戶不會有任何風險。(路透資料圖片)

私人賬戶公開 恐染惡意程式

內部調查已在上月中完成,微軟周一(18日)確認資料外洩,強調不會對客戶造成任何風險。Wiz網站提到,事件源於研究人員共享Azure雲端數據庫時,錯誤配置了SAS(共用存取簽章)令牌,存取期限設為2051年10月6日,更把私人賬戶內容完全公開。不速之客有權修改及刪除檔案,甚或在AI模型「加料」,用戶從GitHub下載資料時,可能因此感染惡意程式碼。

流出資料包括3萬多條Teams對話紀錄,涉及微軟359名員工。(Wiz網上圖片)

Wiz聯合創辦人兼技術總監盧特瓦克(Ami Luttwak)向外媒TechCrunch透露,例如數據科學家、工程師等,都爭相開發AI解決方案,開發團隊訓練AI時需要操控大量數據,他們不但要跟同行共享資料,亦可能要在公共開源項目上協作。因此,像微軟這樣的外洩事故,相信愈來愈難監控及避免。

除了杜絕商業機密外洩,微軟亦忙於應付人才流失。微軟執行副總裁兼Windows與設備首席產品官Panos Panay周一在社交平台X(前稱Twitter)預告,即將離開効力近20年的公司。

有傳他離開微軟Windows及Surface部門後,將加盟電商巨頭亞馬遜(Amazon),執掌Alexa、Echo等語音智能裝置,接替即將退休的設備主管林普(Dave Limp)。

亞馬遜今日(20日)舉行大型硬件發布會,外界關注生成式人工智能(Generative AI),如何讓Alexa語音助手變得更強大。

周四料推新一代平板產品

與此同時,微軟周四(21日)在紐約亦有一場「特別活動」,預計將推出下一代Surface設備,例如Surface Go 4、Surface Laptop Studio 2及Surface Laptop Go 3等新款平板產品。