微软 AI 研究人员意外泄露 38TB 内部数据,包括私钥、密码

爱评测
2023
09/19
23:04
IT之家
分享
评论

来源:IT之家 

云安全初创公司 Wiz Research 今日发布公告称,在微软 AI 的 GitHub 存储库中发现了一起数据泄露事件,这一切由一个配置错误的 SAS(IT 之家注:共享访问签名)令牌引起。

细节方面,微软的 AI 研究团队在 GitHub 上发布了开源训练数据,但是一同意外暴露了 38TB 的其他内部数据,包括微软几名员工个人 PC 的磁盘备份。而在这个磁盘备份中,又包含了机密、私人密钥、密码和数百名 Microsoft 员工超过 30000 条 Microsoft Teams 内部消息

该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被要求从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储账户的权限,从而错误地暴露了其他私人数据

据称,涉事 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许 " 完全控制 " 而不是 " 只读 " 权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。

Wiz 表示它已经于 6 月 22 日向微软报告了这一问题,两天后的 6 月 24 日,微软宣布撤销 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。

整个事件的具体时间线如下

2020 年 7 月 20 日 - SAS 令牌首次提交到 GitHub;到期日定为 2021 年 10 月 5 日

2021 年 10 月 6 日 - SAS 令牌到期日更新为 2051 年 10 月 6 日

2023 年 6 月 22 日 - Wiz Research 发现问题并向微软报告

2023 年 6 月 24 日 - 微软宣布 SAS 令牌失效

2023 年 7 月 7 日 - SAS 令牌在 GitHub 上被替换

2023 年 8 月 16 日 - 微软完成对潜在影响的内部调查

2023 年 9 月 18 日 - Wiz Research 公开披露此事

THE END
广告、内容合作请点击这里 寻求合作
互联网
免责声明:本文系转载,版权归原作者所有;旨在传递信息,不代表砍柴网的观点和立场。

相关热点

9 月 9 日,阿维塔 11 鸿蒙版全国上市品鉴会暨交付仪式 - 上海站正式开启。新车上市仅 15 天,即正式开启全国用户交付。
快讯
据外媒 insideevs 当地时间 16 日报道,梅赛德斯 - 奔驰 CEO 康林松在接受采访时表示,奔驰不会跟随特斯拉的定价策略 —— 依市场而调整的浮动价格机制。
每日快讯
今年 5 月 9 日,在全球拥有超过 10 亿用户的职场社交平台领英宣布,中国本土化求职 App 领英职场将于 2023 年 8 月 9 日起正式停服,也就是说该 App 今天起停止服务,包括移动端 App、桌面端网站和微信小...
每日快讯
中国智能手机市场的格局正在发生惊人的转变。2023 年第一季度,中国整体智能手机市场同比下滑 5%。然而,根据 Counterpoint 的中国智能手机季度报告,入门级细分市场(批发价低于 150 美元)在本季度同比...
每日快讯
阿里巴巴 CEO 张勇宣布启动 "1+6+N" 组织变革后,淘宝天猫正在经历新一轮调整。以下为调整细节:
每日快讯

相关推荐

1
3