微软AI研究人员意外泄露38TB内部数据

安全学习那些事儿

2024-09-16

2023年9月18日，云安全初创公司Wiz Research发布公告称，在微软AI的 GitHub存储库中发现了一起数据泄露事件，这一切由一个配置错误的SAS(共享访问签名)令牌引起。

细节方面，微软的AI研究团队在GitHub上发布了开源训练数据，但是一同意外暴露了38TB的其他内部数据，包括微软几名员工个人PC的磁盘备份。而在这个磁盘备份中，又包含了机密、私人密钥、密码和数百名Microsoft 员工超过 30000条Microsoft Teams内部消息。

该GitHub存储库提供了用于图像识别的开源代码和A 模型，访问者被要求从Azure存储URL下载模型。然而，Wiz发现该URL被配置为授予整个存储账户的权限，从而错误地暴露了其他私人数据。

据称，涉事URL自2020年起就暴露了这些数据，该URL也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容进入其中。

Wiz表示它已经于6月22日向微软报告了这一问题，两天后的6月24日，微软宣布撤销SAS令牌。微软表示，它于8月 16 日完成了对潜在组织影响的调查。

整个事件的具体时间线如下：

2020年7月20日-SAS令牌首次提交到GitHub;到期日定为2021年10月5日

2021年10月6日-SAS令牌到期日更新为2051年10月6日

2023年6月22日-WizResearch发现问题并向微软报告

2023年6月24日-微软宣布SAS令牌失效

2023年7月7日-SAS令牌在GitHub上被替换

2023年8月16日-微软完成对潜在影响的内部调查

2023年9月18日-WizResearch公开披露此事

相关阅读

“一案双查”！网络设备产品服务商这项义务要履行！

继续滑动看下一个

安全学习那些事儿

向上滑动看下一个