首頁 >科技週邊 >人工智慧 >微軟AI研究人員意外洩漏38TB內部數據,包括私鑰、密碼

微軟AI研究人員意外洩漏38TB內部數據,包括私鑰、密碼

WBOY
WBOY轉載
2023-09-21 17:45:081174瀏覽

IT之家9 月18 日消息,雲端安全新創公司Wiz Research 今日發佈公告稱,在微軟AI 的GitHub 儲存庫中發現了一起資料外洩事件,這一切由一個配置錯誤的SAS(IT之家注意:共享存取簽章)令牌引起。

微軟AI研究人員意外洩漏38TB內部數據,包括私鑰、密碼

細節方面,微軟的 AI 研究團隊在 GitHub 上發布了開源訓練數據,但一同意外暴露了 38TB 的其他內部數據,包括微軟幾名員工個人 PC 的磁碟備份。而在這個磁碟備份中,又包含了機密、私人金鑰、密碼和數百名 Microsoft 員工超過 30000 個 Microsoft Teams 內部訊息

微軟AI研究人員意外洩漏38TB內部數據,包括私鑰、密碼

微軟AI研究人員意外洩漏38TB內部數據,包括私鑰、密碼

此 GitHub 儲存庫提供了用於影像辨識的開源程式碼和 AI 模型,訪客被要求從 Azure 儲存 URL 下載模型。然而,Wiz 發現該 URL 被配置為授予整個儲存帳戶的權限,從而錯誤地暴露了其他私人資料

據稱,涉事URL 自2020 年起就暴露了這些數據,該URL 也被錯誤配置為允許「完全控制」而不是「只讀」權限,這意味著任何知道在哪裡查看的人都可能刪除、替換和注入惡意內容進入其中。

Wiz已向微軟報告了這個問題,報告日期為6月22日。微軟在兩天後的6月24日宣布了SAS令牌的撤銷。微軟表示,他們已在8月16日完成了對潛在組織影響的調查

整個事件的具體時間線如下

  • 2020 年 7 月 20 日- SAS 令牌首次提交至 GitHub;到期日定為 2021 年 10 月 5 日
  • 2021 年 10 月 6 日- SAS 令牌到期日更新為 2051 年 10 月 6 日
  • 2023 年 6 月 22 日- Wiz Research 發現問題並向微軟報告
  • 2023 年 6 月 24 日- 微軟宣布 SAS 令牌失效
  • 2023 年 7 月 7 日- SAS 令牌在 GitHub 上被取代
  • 2023 年 8 月 16 日- 微軟完成對潛在影響的內部調查
  • 2023 年 9 月 18 日- Wiz Research 公開揭露此事

參考

以上是微軟AI研究人員意外洩漏38TB內部數據,包括私鑰、密碼的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文轉載於:sohu.com。如有侵權,請聯絡admin@php.cn刪除