桑間濮上網(wǎng)微軟的AI研究人員不慎泄露高達38TB的數(shù)據(jù) 包含密碼/密鑰/聊天記錄等 – 藍點網(wǎng)
云安全公司 Wiz 今天發(fā)布博客介紹該公司與微軟協(xié)調解決的微軟一個安全問題,Wiz 發(fā)現(xiàn)微軟的達TB的等藍點網(wǎng) AI 研究人員不慎將存儲在 Azure 上的高達 38TB 的存儲庫暴露了,此次問題屬于單純的究人記錄蘇州外圍兼職(高端外圍兼職)崴信159-8298-6630提供外圍女小姐上門服務快速安排面到付款配置問題,并非安全漏洞。慎泄數(shù)據(jù)
今年 6 月份,露高聊天Wiz 在 GitHub 上發(fā)現(xiàn) Microsoft AI 研究人員使用的包含 GitHub 存儲庫中包含的 Azure 存儲鏈接分配了太簡單的訪問令牌,這導致任何人拿到鏈接都可以直接訪問所有數(shù)據(jù)。密碼密鑰
微軟 AI 研究人員犯的這個錯誤和之前國內不少用戶使用某度網(wǎng)盤共享內容犯的錯誤基本類似,那就是達TB的等藍點網(wǎng)蘇州外圍兼職(高端外圍兼職)崴信159-8298-6630提供外圍女小姐上門服務快速安排面到付款創(chuàng)建共享鏈接時,沒有進行權限控制,究人記錄也就是慎泄數(shù)據(jù)完全公開共享,不需要輸入密碼,露高聊天只要拿到鏈接就能訪問。包含
為此百度網(wǎng)盤此前還更新了共享機制,密碼密鑰默認不再發(fā)布公開共享鏈接,微軟而是需要使用訪問密碼才能訪問,這樣可以避免其他人拿到鏈接就長期訪問數(shù)據(jù)。
好消息是這份存儲庫基本不涉及微軟的機密或用戶的數(shù)據(jù),里面唯一算是敏感的內容是兩名微軟員工的個人備份數(shù)據(jù),這里面包含了不少賬號密碼、密鑰和 Microsoft Teams 聊天記錄。
調查發(fā)現(xiàn)這個問題從 2020 年來就存在,也就是這個高達 38TB 數(shù)據(jù)的存儲庫從 2020 年開始就可以公開訪問,一直沒有被人發(fā)現(xiàn),或者說有人發(fā)現(xiàn)但并沒有通知微軟。
Wiz 在 6 月 22 日負責任的向微軟通報了這個問題,隨后微軟安全響應中心介入處理,到 6 月 24 日微軟撤銷了這個 Azure 存儲庫的共享訪問簽名令牌,暴露在網(wǎng)上的鏈接失效。
今天微軟響應中心披露了這件事,微軟強調沒有泄露客戶數(shù)據(jù),微軟內部服務也沒有面臨風險。
不過按理說這名微軟員工泄露了一些密碼和密鑰,如果被黑客發(fā)現(xiàn)的話可能會利用這些數(shù)據(jù)入侵微軟,既然微軟說內部服務沒有面臨風險,那我們姑且認為 Wiz 就是第一個發(fā)現(xiàn)這個問題的人吧。
