微软AI研究人员意外泄露38TB内部数据,包括私钥、密码
2023-09-19 11:13
9 月 18 日消息,云安全初创公司 Wiz Research 今日发布公告称,在微软 AI 的 GitHub 存储库中发现了一起数据泄露事件,这一切由一个配置错误的 SAS(IT之家注:共享访问签名)令牌引起。
细节方面,微软的 AI 研究团队在 GitHub 上发布了开源训练数据,但是一同意外暴露了 38TB 的其他内部数据,包括微软几名员工个人 PC 的磁盘备份。而在这个磁盘备份中,又包含了机密、私人密钥、密码和数百名 Microsoft 员工超过 30000 条 Microsoft Teams 内部消息。
该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被要求从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储账户的权限,从而错误地暴露了其他私人数据。
据称,涉事 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。
Wiz 表示它已经于 6 月 22 日向微软报告了这一问题,两天后的 6 月 24 日,微软宣布撤销 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。
整个事件的具体时间线如下:
2020 年 7 月 20 日- SAS 令牌首次提交到 GitHub;到期日定为 2021 年 10 月 5 日
2021 年 10 月 6 日- SAS 令牌到期日更新为 2051 年 10 月 6 日
2023 年 6 月 22 日- Wiz Research 发现问题并向微软报告
2023 年 6 月 24 日- 微软宣布 SAS 令牌失效
2023 年 7 月 7 日- SAS 令牌在 GitHub 上被替换
2023 年 8 月 16 日- 微软完成对潜在影响的内部调查
2023 年 9 月 18 日- Wiz Research 公开披露此事
【来源:IT之家】
相关推荐
微软AI掌舵人苏莱曼“论英雄”:奥尔特曼勇敢、哈萨比斯多才、马斯克简直是超人微软AI帮你定制年终高情商话术:写总结、谈加薪、不得罪同事
微软AI CEO Mustafa Suleyman称:“听到有人说AI平庸,我就想笑”
微软AI部门CEO苏莱曼:我们要开发出让家长放心给孩子用的AI
与OpenAI划清界限 微软AI主管:不会为成人内容开发聊天机器人
微软AI部门CEO:网上几乎所有内容都可免费用于AI训练,但也有灰色地带
颠覆Windows使用体验的功能!微软AI Explorer全新光标曝光
微软新AI专利获批:帮老板追踪、评估你的工作表现
微软AI全家桶上新:企业版必应Chat 携手Meta首发Llama 2
微软推出AI服务Code Optimizations 帮开发者改进.NET应用性能
微软AI全家桶上新啦!GPT-4进军程序员大本营GitHub
微软AI单凭文字就可作画,谁最先受冲击
<返回首页
Copyright CmsTop.com
2026年04月14日 08:44:19