微软 AI 研究人员意外泄露 38TB 内部数据,包括私钥、密码及 3 万条内部 Teams 消息

安全 数据安全
微软的 AI 研究团队在 GitHub 上发布了开源训练数据,但是一同意外暴露了 38TB 的其他内部数据,包括微软几名员工个人 PC 的磁盘备份。而在这个磁盘备份中,又包含了机密、私人密钥、密码和数百名 Microsoft 员工超过 30000 条 Microsoft Teams 内部消息。

云安全初创公司 Wiz Research 今日发布公告称,在微软 AI 的 GitHub 存储库中发现了一起数据泄露事件,这一切由一个配置错误的 SAS(IT之家注:共享访问签名)令牌引起。

细节方面,微软的 AI 研究团队在 GitHub 上发布了开源训练数据,但是一同意外暴露了 38TB 的其他内部数据,包括微软几名员工个人 PC 的磁盘备份。而在这个磁盘备份中,又包含了机密、私人密钥、密码和数百名 Microsoft 员工超过 30000 条 Microsoft Teams 内部消息。

该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被要求从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储账户的权限,从而错误地暴露了其他私人数据。

据称,涉事 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。

Wiz 表示它已经于 6 月 22 日向微软报告了这一问题,两天后的 6 月 24 日,微软宣布撤销 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。

整个事件的具体时间线如下:

  • 2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub;到期日定为 2021 年 10 月 5 日
  • 2021 年 10 月 6 日- SAS 令牌到期日更新为 2051 年 10 月 6 日
  • 2023 年 6 月 22 日- Wiz Research 发现问题并向微软报告
  • 2023 年 6 月 24 日- 微软宣布 SAS 令牌失效
  • 2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替换
  • 2023 年 8 月 16 日- 微软完成对潜在影响的内部调查
  • 2023 年 9 月 18 日- Wiz Research 公开披露此事
责任编辑:姜华 来源: IT之家
相关推荐

2023-09-21 08:23:07

2023-09-19 22:36:58

2023-09-19 09:56:57

2023-09-19 12:46:09

2014-01-21 17:36:58

2013-05-16 10:15:11

信息泄密彭博Bloomberg

2020-11-13 09:40:36

Windows 10Windows操作系统

2017-12-12 11:00:34

数据库MongoDB意外泄露

2009-04-09 09:16:19

微软失误紧急声明

2011-04-11 09:24:35

NoSQL标准化

2012-03-21 10:02:35

2023-06-14 15:53:53

人工智能深度学习医疗健康

2021-01-04 05:46:00

AI人工智能深度学习

2021-05-16 08:42:03

苹果Find My寻物网络信息泄露

2021-02-02 09:32:06

黑客攻击l安全

2020-04-12 21:39:25

安全指纹认证技术

2021-05-28 18:35:29

NVIDIA

2020-11-19 15:21:26

人工智能

2019-11-28 18:54:50

数据库黑客软件

2020-05-11 08:22:17

数据安全黑客安全
点赞
收藏

51CTO技术栈公众号