Penyelidik Microsoft AI secara tidak sengaja membocorkan 38TB data dalaman, termasuk kunci peribadi dan maklumat kata laluan

Tidak perlu mengubah maksud asal, kandungan yang perlu ditulis semula ialah: Sumber: IT Home

Wiz Research hari ini mengumumkan bahawa pelanggaran data ditemui dalam repositori GitHub Microsoft AI, yang disebabkan oleh token SAS (Nota Laman Utama IT: Tandatangan Akses Dikongsi) yang salah konfigurasi

Dari segi butiran, pasukan penyelidik kecerdasan buatan Microsoft mengeluarkan data latihan sumber terbuka pada GitHub, tetapi secara tidak sengaja mendedahkan 38TB data dalaman lain, termasuk sandaran cakera beberapa komputer peribadi pekerja Microsoft. Sandaran ini mengandungi maklumat sulit, kunci peribadi, kata laluan dan beribu-ribu mesej dalaman pasukan Microsoft, yang melibatkan lebih 30,000 pekerja

Repositori GitHub ini menyediakan kod sumber terbuka dan model AI untuk pengecaman imej, pelawat perlu memuat turun model daripada URL storan Azure. Walau bagaimanapun, Wiz mendapati bahawa kebenaran untuk URL tersebut telah disalahkonfigurasikan, menyebabkan kebenaran untuk keseluruhan akaun storan diberikan, sekali gus mendedahkan data peribadi yang lain secara salah

Menurut laporan, URL terbabit dikatakan telah mendedahkan data ini sejak 2020. Tambahan pula, URL telah dikonfigurasikan secara salah untuk membenarkan "Kawalan Penuh" dan bukannya kebenaran "Baca Sahaja". Ini bermakna sesiapa yang tahu cara melihat URL ini berpotensi memadam, menggantikan dan menyuntik kandungan berniat jahat

Wiz berkata ia melaporkan isu itu kepada Microsoft pada 22 Jun, dan dua hari kemudian pada 24 Jun, Microsoft mengumumkan ia membatalkan token SAS. Microsoft berkata ia menyelesaikan siasatannya terhadap potensi kesan organisasi pada 16 Ogos.

Berikut ialah garis masa khusus bagi keseluruhan kejadian:

Pada 20 Julai 2020, token SAS telah diserahkan kepada GitHub buat kali pertama;

6 Oktober 2021 - tarikh tamat tempoh token SAS dikemas kini kepada 6 Oktober 2051

22 Jun 2023 - Pasukan penyelidik Wiz menemui isu tersebut dan melaporkannya kepada Microsoft

24 Jun 2023 - Microsoft mengumumkan tamat tempoh token SAS

Pada 7 Julai 2023, token SAS telah diganti pada GitHub

16 Ogos 2023 - Microsoft melengkapkan penyiasatan dalaman terhadap potensi kesan

18 September 2023 - Wiz Research mendedahkan perkara ini secara terbuka

Atas ialah kandungan terperinci Penyelidik Microsoft AI secara tidak sengaja membocorkan 38TB data dalaman, termasuk kunci peribadi dan maklumat kata laluan. Untuk maklumat lanjut, sila ikut artikel berkaitan lain di laman web China PHP!