Microsoft AI 研究者が秘密キーとパスワードを含む 38TB の内部データを誤って漏洩

IT Home News 9 月 18 日、クラウド セキュリティのスタートアップ Wiz Research は、Microsoft AI の GitHub リポジトリでデータ漏洩が発見されたことを発表しました。その原因はすべて、SAS (IT Home 注: Shared Access Signature が原因) トークンの構成ミスが原因でした。

詳細については、Microsoft の AI 研究チームは GitHub でオープンソースのトレーニング データを公開しましたが、数人の Microsoft 従業員の個人 PC のディスク バックアップを含む 38 TB の他の内部データを誤って漏洩してしまいました。ディスク バックアップには、機密情報、秘密キー、パスワード、および数百人の Microsoft 従業員からの 30,000 件を超える内部 Microsoft Teams メッセージも含まれていました。

この GitHub リポジトリは、画像認識用のオープン ソース コードと AI モデルを提供しており、訪問者は Azure ストレージ URL からモデルをダウンロードするように求められます。しかし、Wiz は、URL が

ストレージ アカウント全体にアクセス許可を付与するように構成されており、それによって誤って他のプライベート データ

が公開されていることを発見しました。 2020 年以降にデータを公開したとされる問題の URL も、「読み取り専用」権限ではなく「フル コントロール」権限を許可するように誤って設定されていました。つまり、どこを見ればよいかを知っている人であれば誰でも削除、置き換え、悪意のあるファイルの挿入が可能になるということです。コンテンツをその中に入れます。

Wiz はこの問題を Microsoft に報告しました。報告日は 6 月 22 日です。 Microsoft は 2 日後の 6 月 24 日に SAS トークンの失効を発表しました。 Microsoft は、8 月 16 日に組織への影響の可能性に関する調査を完了したと発表しました

事件全体の具体的なタイムラインは次のとおりです

:

2020 年 7 月 20 日 - GitHub への SAS トークンの最初の送信、有効期限は 2021 年 10 月 5 日に設定されました

• 2021 年 10 月 6 日 - SAS トークンの有効期限が 2051 年 10 月 6 日に更新されました
• 2023 年 6 月 22 日 - Wiz Research が問題を発見し、Microsoft に報告しました
• 2023 年 6 月 24 日 - Microsoft が SAS トークンの有効期限を発表
• 2023 年 7 月 7 日 - GitHub で SAS トークンが置き換えられました
• 2023 年 8 月 16 日 - Microsoft は潜在的な影響に関する内部調査を完了
• 2023 年 9 月 18 日 - Wiz Research がこれを公開します
• ＃＃＃参照する＃＃＃

以上がMicrosoft AI 研究者が秘密キーとパスワードを含む 38TB の内部データを誤って漏洩の詳細内容です。詳細については、PHP 中国語 Web サイトの他の関連記事を参照してください。