微软AI研究人员意外泄露38TB内部数据
微软AI部门因一个配置错误的SAS令牌而意外泄露了38TB的内部数据,这包括员工的私钥、密码以及3万条内部Teams消息。云安全初创公司Wiz Research今日发布公告称,在微软AI的GitHub存储库中发现了一起数据泄露事件。
据Wiz Research的研究表明,微软AI研究团队在GitHub上发布了开源训练数据,但同意外暴露了38TB的其他内部数据,包括微软几名员工个人PC的磁盘备份。这个磁盘备份中包含了机密、私人密钥、密码和数百名Microsoft员工超过30000条内部消息。
据称,涉事URL自2020年起就暴露了这些数据,而该URL也被错误配置为允许“完全控制”而不是“只读”权限。这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。
Wiz Research表示,它已经于6月22日向微软报告了这一问题,两天后的6月24日,微软宣布撤销SAS令牌。微软表示,它于8月16日完成了对潜在组织影响的调查。
整个事件的具体时间线如下:2020年7月20日-SAS令牌首次提交到GitHub;到期日定为2021年10月5日。2021年10月6日-SAS令牌到期日更新为2051年10月6日。2023年6月22日-WizResearch发现问题并向微软报告。2023年6月24日-微软宣布SAS令牌失效。2023年7月7日-SAS令牌在GitHub上被替换。2023年8月16日-微软完成对潜在影响的内部调查。2023年9月18日-WizResearch公开披露此事。
此次事件对微软的形象造成了极大的负面影响,也提醒了企业在处理数据时需要警惕各种安全风险和错误。作为一家全球知名的科技公司,微软需要尽快采取措施,修复安全漏洞,并保护用户隐私和数据安全。
【来源】https://www.ithome.com/0/719/963.htm
Views: 1