微軟 AI 研究人員無意中洩露 38TB 內部數據，包括私鑰和密碼資訊

無需改變原本的意思，需要改寫的內容是：來源：IT之家

Wiz Research 今日發佈公告稱，在微軟AI 的GitHub 儲存庫中發現了一起資料外洩事件，這是由於一個配置錯誤的SAS（IT 之家注：共享存取簽章）令牌引起的

在細節方面，微軟的人工智慧研究團隊在GitHub上發布了開源訓練數據，但意外暴露了38TB的其他內部數據，其中包括微軟幾名員工個人電腦的磁碟備份。而這些備份中又包含了機密資訊、私人金鑰、密碼以及數千條微軟團隊內部訊息，涉及超過30,000名員工

這個 GitHub 儲存庫提供了用於影像辨識的開源程式碼和 AI 模型，訪客需要從 Azure 儲存體的 URL 下載模型。然而，Wiz 發現該 URL 的權限配置錯誤，導致整個儲存帳戶的權限被授予，從而錯誤地暴露了其他私人資料

據報道，據稱自2020年起，涉及的URL就已經暴露了這些數據。而且，該URL被錯誤地配置為允許"完全控制"而不是"只讀"權限。這意味著任何知道如何查看這個網站的人都有可能刪除、替換和注入惡意內容

Wiz 表示它已經在 6 月 22 日向微軟報告了這個問題，兩天後的 6 月 24 日，微軟宣布撤銷 SAS 令牌。微軟表示，它在 8 月 16 日完成了對潛在組織影響的調查。

以下是整個事件的具體時間軸：

2020年7月20日，SAS令牌首次提交至GitHub；到期日定為2021年10月5日

2021 年 10 月 6 日 - SAS 令牌到期日更新為 2051 年 10 月 6 日

2023年6月22日 - Wiz研究團隊發現了問題，並向微軟進行了報告

2023 年 6 月 24 日 - 微軟宣布 SAS 令牌失效

2023年7月7日，SAS令牌在GitHub上被更換

2023 年 8 月 16 日 - 微軟完成對潛在影響的內部調查

2023 年 9 月 18 日 - Wiz Research 公開此事

以上是微軟 AI 研究人員無意中洩露 38TB 內部數據，包括私鑰和密碼資訊的詳細內容。更多資訊請關注PHP中文網其他相關文章！