Microsoft AI 研究者が秘密キーやパスワード情報を含む 38TB の内部データを誤って漏洩

元の意味を変更する必要はありません。書き換える必要がある内容は次のとおりです。出典: IT ホーム

Wiz Research は本日、Microsoft AI の GitHub リポジトリでデータ漏洩が発見されたことを発表しました。その原因は SAS (IT Home Note: Shared Access Signature) トークンの構成ミスにありました。

詳細については、Microsoft の人工知能研究チームは GitHub でオープンソースのトレーニング データを公開しましたが、数人の Microsoft 従業員のパーソナル コンピューターのディスク バックアップを含む 38 TB の他の内部データを誤って公開してしまいました。これらのバックアップには、機密情報、秘密キー、パスワード、および 30,000 人以上の従業員が関与する数千の Microsoft チーム内部メッセージが含まれていました。

この GitHub リポジトリは、画像認識用のオープン ソース コードと AI モデルを提供します。訪問者は、Azure ストレージ URL からモデルをダウンロードする必要があります。しかし、Wiz は、URL のアクセス許可の構成が間違っていることを発見しました。その結果、ストレージ アカウント全体にアクセス許可が付与され、その結果、他のプライベート データが誤って公開されてしまいました。

報道によると、関与した URL は 2020 年以降にデータを漏洩したと言われています。さらに、URL は「読み取り専用」権限ではなく「フル コントロール」権限を許可するように誤って構成されていました。これは、この URL の表示方法を知っている人は誰でも、悪意のあるコンテンツを削除、置換、挿入できる可能性があることを意味します

Wiz は、6 月 22 日にこの問題を Microsoft に報告し、その 2 日後の 6 月 24 日に Microsoft は SAS トークンを取り消すと発表したと述べました。 Microsoftは8月16日に組織への潜在的な影響に関する調査を完了したと発表した。

以下は、事件全体の具体的なタイムラインです:

2020 年 7 月 20 日に、SAS トークンが初めて GitHub に送信されました。有効期限は 2021 年 10 月 5 日です

2021 年 10 月 6 日 - SAS トークンの有効期限が 2051 年 10 月 6 日に更新されました

2023 年 6 月 22 日 - Wiz 研究チームが問題を発見し、Microsoft に報告しました

2023 年 6 月 24 日 - Microsoft が SAS トークンの有効期限を発表

2023 年 7 月 7 日に、SAS トークンが GitHub で置き換えられました

2023 年 8 月 16 日 - Microsoft は潜在的な影響に関する内部調査を完了

2023 年 9 月 18 日 - Wiz Research がこれを公開します

以上がMicrosoft AI 研究者が秘密キーやパスワード情報を含む 38TB の内部データを誤って漏洩の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。