設(shè)置
  • 日夜間
    隨系統(tǒng)
    淺色
    深色
  • 主題色

微軟 AI 研究人員意外泄露 38TB 內(nèi)部數(shù)據(jù),包括私鑰、密碼及 3 萬條內(nèi)部 Teams 消息

2023/9/18 23:20:54 來源:IT之家 作者:清源(實習(xí)) 責(zé)編:清源
感謝IT之家網(wǎng)友 軟媒用戶1520111、Alejandro86 的線索投遞!

IT之家 9 月 18 日消息,云安全初創(chuàng)公司 Wiz Research 今日發(fā)布公告稱,在微軟 AI 的 GitHub 存儲庫中發(fā)現(xiàn)了一起數(shù)據(jù)泄露事件,這一切由一個配置錯誤的 SAS(IT之家注:共享訪問簽名)令牌引起。

細(xì)節(jié)方面,微軟的 AI 研究團(tuán)隊在 GitHub 上發(fā)布了開源訓(xùn)練數(shù)據(jù),但是一同意外暴露了 38TB 的其他內(nèi)部數(shù)據(jù),包括微軟幾名員工個人 PC 的磁盤備份。而在這個磁盤備份中,又包含了機(jī)密、私人密鑰、密碼和數(shù)百名 Microsoft 員工超過 30000 條 Microsoft Teams 內(nèi)部消息。

該 GitHub 存儲庫提供了用于圖像識別的開源代碼和 AI 模型,訪問者被要求從 Azure 存儲 URL 下載模型。然而,Wiz 發(fā)現(xiàn)該 URL 被配置為授予整個存儲賬戶的權(quán)限,從而錯誤地暴露了其他私人數(shù)據(jù)

據(jù)稱,涉事 URL 自 2020 年起就暴露了這些數(shù)據(jù),該 URL 也被錯誤配置為允許“完全控制”而不是“只讀”權(quán)限,這意味著任何知道在哪里查看的人都可能刪除、替換和注入惡意內(nèi)容進(jìn)入其中。

Wiz 表示它已經(jīng)于 6 月 22 日向微軟報告了這一問題,兩天后的 6 月 24 日,微軟宣布撤銷 SAS 令牌。微軟表示,它于 8 月 16 日完成了對潛在組織影響的調(diào)查。

整個事件的具體時間線如下

  • 2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub;到期日定為 2021 年 10 月 5 日

  • 2021 年 10 月 6 日- SAS 令牌到期日更新為 2051 年 10 月 6 日

  • 2023 年 6 月 22 日- Wiz Research 發(fā)現(xiàn)問題并向微軟報告

  • 2023 年 6 月 24 日- 微軟宣布 SAS 令牌失效

  • 2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替換

  • 2023 年 8 月 16 日- 微軟完成對潛在影響的內(nèi)部調(diào)查

  • 2023 年 9 月 18 日- Wiz Research 公開披露此事

參考

廣告聲明:文內(nèi)含有的對外跳轉(zhuǎn)鏈接(包括不限于超鏈接、二維碼、口令等形式),用于傳遞更多信息,節(jié)省甄選時間,結(jié)果僅供參考,IT之家所有文章均包含本聲明。

相關(guān)文章

關(guān)鍵詞:微軟,AI數(shù)據(jù)泄露

軟媒旗下網(wǎng)站: IT之家 最會買 - 返利返現(xiàn)優(yōu)惠券 iPhone之家 Win7之家 Win10之家 Win11之家

軟媒旗下軟件: 軟媒手機(jī)APP應(yīng)用 魔方 最會買 要知