KI-Forscher von Microsoft haben versehentlich 38 TB interne Daten durchsickern lassen, darunter private Schlüssel und Passwortinformationen

Die ursprüngliche Bedeutung muss nicht geändert werden. Der Inhalt, der neu geschrieben werden muss, ist: Quelle: IT Home

Wiz Research gab heute bekannt, dass im GitHub-Repository von Microsoft AI eine Datenschutzverletzung entdeckt wurde, die durch ein falsch konfiguriertes SAS-Token (IT Home Note: Shared Access Signature) verursacht wurde

Im Detail hat das Forschungsteam für künstliche Intelligenz von Microsoft Open-Source-Trainingsdaten auf GitHub veröffentlicht, aber versehentlich 38 TB anderer interner Daten offengelegt, darunter Festplattensicherungen der PCs mehrerer Microsoft-Mitarbeiter. Diese Backups enthalten vertrauliche Informationen, private Schlüssel, Passwörter und Tausende interne Microsoft-Teamnachrichten, an denen mehr als 30.000 Mitarbeiter beteiligt sind

Dieses GitHub-Repository bietet Open-Source-Code und KI-Modelle für die Bilderkennung. Besucher müssen das Modell von der Azure-Speicher-URL herunterladen. Wiz stellte jedoch fest, dass die Berechtigungen für diese URL falsch konfiguriert waren, was dazu führte, dass Berechtigungen für das gesamte Speicherkonto gewährt wurden, wodurch fälschlicherweise andere private Daten offengelegt wurden

Berichten zufolge sollen die beteiligten URLs diese Daten seit 2020 offengelegt haben. Darüber hinaus wurde die URL falsch konfiguriert, um „Vollzugriff“ anstelle von „Nur-Lesen“-Berechtigungen zuzulassen. Das bedeutet, dass jeder, der weiß, wie diese URL angezeigt wird, möglicherweise schädliche Inhalte löschen, ersetzen und einfügen kann

Wiz gab an, das Problem am 22. Juni an Microsoft gemeldet zu haben, und zwei Tage später, am 24. Juni, gab Microsoft bekannt, dass das SAS-Token widerrufen werde. Microsoft sagte, es habe seine Untersuchung möglicher Auswirkungen auf die Organisation am 16. August abgeschlossen.

Das Folgende ist der genaue Zeitplan des gesamten Vorfalls:

Am 20. Juli 2020 wurde der SAS-Token erstmals bei GitHub eingereicht; das Ablaufdatum ist auf den 5. Oktober 2021 festgelegt

6. Oktober 2021 – Ablaufdatum des SAS-Tokens auf 6. Oktober 2051 aktualisiert

22. Juni 2023 – Das Wiz-Forschungsteam hat das Problem entdeckt und es an Microsoft gemeldet

24. Juni 2023 – Microsoft gibt den Ablauf des SAS-Tokens bekannt

Am 7. Juli 2023 wurde der SAS-Token auf GitHub ersetzt

16. August 2023 – Microsoft schließt interne Untersuchung möglicher Auswirkungen ab

18. September 2023 – Wiz Research hat dies öffentlich bekannt gegeben

Das obige ist der detaillierte Inhalt vonKI-Forscher von Microsoft haben versehentlich 38 TB interne Daten durchsickern lassen, darunter private Schlüssel und Passwortinformationen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!