多達 38TB 的微軟內部數據遭泄露，起因竟只是一個小小的配置錯誤？——確實如此，你沒看錯。

近日，云安全初創公司 Wiz Research 發布了一則公告：微軟 AI 研究團隊在 Github 上發布大量開源培訓數據時，意外暴露了 38TB 的額外私人數據，其中還有兩名員工工作站的磁盤備份，包括了機密信息、私鑰、密碼和超過30000條內部 Microsoft Teams 消息。

微軟公司發生了一起驚人的安全漏洞，由于配置錯誤，導致38TB的內部數據被泄露。這一事件引發了廣泛的關注和擔憂，同時也推動了程序員這一崗位的需求飆升，成為了當下備受追捧的熱門職業。本文將深入探討微軟數據泄露事件的影響，并剖析程序員崗位的迅猛發展，為讀者呈現一個全面的視角。

而這一切的源頭，僅是一個配置錯誤的共享訪問簽名（SAS）令牌。

網絡安全的重要性，不言而喻。

0138TB 內部數據遭泄露！

據 Wiz 介紹，微軟這場規模龐大的數據泄露，早在2020年7月就存在了，只是在今年6月才被 Wiz 發現。

作為 Wiz 研究團隊工作的一部分，他們會查找云托管數據意外暴露的情況，在互聯網上掃描配置錯誤的存儲容器。在此過程中，今年6月 Wiz 發現了一個屬于微軟 AI 研究部門的 GitHub 存儲庫。

這個 GitHub 存儲庫提供了用于圖像識別的開源代碼和 AI 模型，并引導開發者前往微軟云存儲系統 Azure Storage 的 URL，來下載相關代碼和開源模型：

乍看之下，這個 URL 沒有任何問題，但 Wiz 卻發現：該 URL 中包含了一個訪問范圍過于寬松的共享訪問簽名（SAS）令牌，被錯誤配置為授予整個 Azure 存儲賬戶的權限——也就是說，點擊該鏈接的人不僅可以訪問開源模型，更可以共享該 Azure 存儲賬戶中的全部數據！

根據 Wiz 掃描顯示，該 Azure 存儲賬戶包含 38TB 的額外數據，其中包括微軟員工的個人電腦備份。這些備份包含敏感的個人數據，包括微軟服務的密碼、密鑰以及來自 359 名微軟員工的 30000 多條內部 Microsoft Teams 消息。

在計算機備份中找到的一小部分敏感文件樣本

兩名微軟員工之間經過編輯的團隊對話。

02“權限過大”的 SAS 令牌

說了這么久，那SAS令牌到底是什么呢？

具體來說，共有3種類型的SAS令牌：賬戶SAS、服務SAS和用戶授權 SAS。而此次用于微軟存儲庫中的，正是賬戶SAS令牌。

在Azure中，SAS令牌是一個經過簽名的URL，可授予對Azure存儲數據的訪問權限，其訪問范圍和到期時間都可以由用戶自定義：

• 權限可以選擇“只讀”和“完全控制”，范圍可以是單個文件、容器或整個存儲賬戶；
• 到期時間也完全可定制，用戶可以創建永不過期的訪問令牌。

生成賬戶SAS令牌的過程很簡單，用戶只需配置令牌的范圍、權限和到期日期，即可生成令牌。在后臺，瀏覽器會從Azure下載賬戶密鑰，并用密鑰簽署生成的令牌——整個過程在客戶端完成，既不是Azure發起的事件，生成的令牌也不是Azure對象。

但也正因如此，一旦用戶創建了一個權限過高且還沒過期的SAS令牌時，管理員就很難發現。

在描述過往經歷時，我們總會遇到下面的情景：

例如，2020 年 7 月 20 日微軟 AI 開發人員首次將 SAS 令牌提交到 GitHub 存儲庫，并把權限到期日設為 2021 年 10 月 5 日；到了 2021 年 10 月 6 日，又把 SAS 令牌到期日更新為 2051 年 10 月 6 日。

從時間上來看，微軟的這個 SAS 令牌沒什么問題；但從權限范圍和級別來看，其風險就很大了：不僅可以訪問存儲賬戶中的全部數據，該 SAS 令牌還被錯誤配置為“完全控制”權限而非“只讀”權限。

這意味著，所有人不僅可以查看存儲賬戶中的所有文件，都能隨時刪除、替換并向其中注入惡意內容。

對于這個隱患，Wiz 聯想到了最初這個 GitHub 存儲庫的目的：提供用于圖像識別的開源代碼和 AI 模型。

對此，Wiz 提出了一種假設：“也就是說，攻擊者可以將惡意代碼注入該存儲賬戶中的所有 AI 模型，而每個信任微軟 GitHub 存儲庫的用戶都會因此受到感染。”

03組織 AI 研究時注意安全檢查和保護措施

不過值得注意的是，Wiz 指出這個存儲賬戶似乎并沒有直接暴露給公眾：“事實上，這是一個私人存儲賬戶。”

表面上看，微軟開發人員使用了一種名為“SAS 令牌”的 Azure 機制，允許創建一個可共享的鏈接，授予對 Azure 存儲賬戶數據的訪問權限。但 Wiz 表示：在檢查時，該存儲賬戶看起來仍然是完全私有的。

對于這個問題，微軟安全響應中心也強調：“沒有客戶數據因此暴露，也沒有其他內部服務因這個問題而面臨風險。”

微軟表示，根據 Wiz 的研究結果，它已經擴展了 GitHub 的秘密掃描服務，該服務可以監控所有公開源代碼的更改，以防明文暴露憑證和其他機密，包括任何可能具有過度許可權限或過期的 SAS 令牌。

盡管此次事件并未造成嚴重后果，但 Wiz 依舊認為，這件事提醒了工程師們，在組織 AI 研究時，必須充分考慮到所需的安全措施——畢竟像微軟這樣的科技巨頭，也會因為一個錯誤配置導致大規模的數據泄露：

“隨著數據科學家和工程師競相將新的 AI 解決方案投入生產，他們處理的海量數據需要額外的安全檢查和保護措施。由于許多開發團隊需要處理海量數據、與同行共享數據或在公共開源項目上合作，像微軟這樣的案例越來越難以監控和避免。”

04程序員崗位需求的激增

數據泄露事件的曝光引發了企業對數據安全的高度重視，從而導致程序員崗位需求的迅速增長。隨著企業加大對數據保護的投入，對程序員的需求涵蓋了從數據安全專家到網絡安全工程師的各個層面。程序員們掌握著保護數據和網絡安全的關鍵技能，他們的工作變得更加重要和搶手。

工信部預測，到2027年我國網絡安全從業人員的需求數量將達到300萬人，然而目前每年實際培養出的網絡安全人才卻不到5萬人。

如此龐大的市場需求自然讓網絡安全人才尤為搶手，薪資可觀。

05成為一名優秀程序員的要求

隨著程序員崗位需求的激增，成為一名優秀程序員變得更具挑戰性和競爭力。除了扎實的編程技能和深厚的技術功底外，程序員還需要具備良好的溝通能力、團隊合作精神和對安全問題的敏感性。同時，不斷學習和更新知識也是保持競爭力的關鍵，因為技術的發展變化日新月異，程序員需要不斷跟進和適應新的技術趨勢。

06程序員崗位的未來發展趨勢

隨著數據泄露事件的警示和企業對數據安全的重視，程序員崗位將繼續迎來更多的機遇和挑戰。未來，隨著技術的不斷演進，程序員們需要關注數據隱私保護、網絡安全、人工智能等方面的知識和技能。同時，與其他領域的融合也將成為程序員發展的趨勢，例如物聯網、云計算和大數據等領域的交叉應用。

微軟數據泄露事件的發生提醒了我們對數據安全的重視，同時也為程序員們帶來了新的機遇和挑戰。隨著企業對數據安全需求的不斷增長，程序員這一職業將變得越來越搶手。通過不斷提升自身技能和知識，成為一名優秀的程序員，將擁有廣闊的職業前景和發展空間。