無需改變原本的意思,需要改寫的內容是:來源:IT之家
Wiz Research 今日發佈公告稱,在微軟AI 的GitHub 儲存庫中發現了一起資料外洩事件,這是由於一個配置錯誤的SAS(IT 之家注:共享存取簽章)令牌引起的
在細節方面,微軟的人工智慧研究團隊在GitHub上發布了開源訓練數據,但意外暴露了38TB的其他內部數據,其中包括微軟幾名員工個人電腦的磁碟備份。而這些備份中又包含了機密資訊、私人金鑰、密碼以及數千條微軟團隊內部訊息,涉及超過30,000名員工
這個 GitHub 儲存庫提供了用於影像辨識的開源程式碼和 AI 模型,訪客需要從 Azure 儲存體的 URL 下載模型。然而,Wiz 發現該 URL 的權限配置錯誤,導致整個儲存帳戶的權限被授予,從而錯誤地暴露了其他私人資料
據報道,據稱自2020年起,涉及的URL就已經暴露了這些數據。而且,該URL被錯誤地配置為允許"完全控制"而不是"只讀"權限。這意味著任何知道如何查看這個網站的人都有可能刪除、替換和注入惡意內容
Wiz 表示它已經在 6 月 22 日向微軟報告了這個問題,兩天後的 6 月 24 日,微軟宣布撤銷 SAS 令牌。微軟表示,它在 8 月 16 日完成了對潛在組織影響的調查。
以下是整個事件的具體時間軸:
2020年7月20日,SAS令牌首次提交至GitHub;到期日定為2021年10月5日
2021 年 10 月 6 日 - SAS 令牌到期日更新為 2051 年 10 月 6 日
2023年6月22日 - Wiz研究團隊發現了問題,並向微軟進行了報告
2023 年 6 月 24 日 - 微軟宣布 SAS 令牌失效
2023年7月7日,SAS令牌在GitHub上被更換
2023 年 8 月 16 日 - 微軟完成對潛在影響的內部調查
2023 年 9 月 18 日 - Wiz Research 公開此事
以上是微軟 AI 研究人員無意中洩露 38TB 內部數據,包括私鑰和密碼資訊的詳細內容。更多資訊請關注PHP中文網其他相關文章!