Microsoft AI 연구원이 실수로 개인 키 및 비밀번호 정보를 포함하여 38TB의 내부 데이터를 유출했습니다.

원래 의미를 변경할 필요는 없습니다. 다시 작성해야 하는 내용은 다음과 같습니다. 출처: IT Home

Wiz Research는 오늘 Microsoft AI의 GitHub 저장소에서 잘못 구성된 SAS(IT Home Note: Shared Access Signature) 토큰으로 인해 데이터 유출이 발견되었다고 발표했습니다

자세히 살펴보면, 마이크로소프트 인공지능 연구팀이 GitHub에 오픈소스 교육 데이터를 공개했는데, 실수로 마이크로소프트 직원 여러 개인 컴퓨터의 디스크 백업을 포함해 38TB에 달하는 기타 내부 데이터가 노출됐다. 이러한 백업에는 기밀 정보, 개인 키, 암호 및 30,000명 이상의 직원이 참여하는 수천 개의 내부 Microsoft 팀 메시지가 포함되어 있습니다

이 GitHub 리포지토리는 이미지 인식을 위한 오픈 소스 코드와 AI 모델을 제공하므로 방문자는 Azure Storage URL에서 모델을 다운로드해야 합니다. 그러나 Wiz는 해당 URL에 대한 권한이 잘못 구성되어 전체 스토리지 계정에 대한 권한이 부여되어 다른 개인 데이터가 실수로 노출된다는 사실을 발견했습니다

보도에 따르면 관련 URL은 2020년부터 이 데이터를 노출한 것으로 전해지고 있습니다. 또한 "읽기 전용" 권한 대신 "모든 권한"을 허용하도록 URL이 잘못 구성되었습니다. 이는 이 URL을 보는 방법을 아는 사람은 누구나 잠재적으로 악성 콘텐츠를 삭제, 교체 및 삽입할 수 있음을 의미합니다

위즈는 6월 22일 마이크로소프트에 이 문제를 보고했다고 밝혔고, 이틀 뒤인 6월 24일 마이크로소프트는 SAS 토큰을 취소한다고 발표했다. 마이크로소프트는 조직에 미칠 잠재적 영향에 대한 조사를 8월 16일 완료했다고 밝혔다.

다음은 전체 사건의 구체적인 타임라인입니다.

2020년 7월 20일에 SAS 토큰이 처음으로 GitHub에 제출되었습니다. 만료 날짜는 2021년 10월 5일로 설정되었습니다.

2021년 10월 6일 - SAS 토큰 만료 날짜가 2051년 10월 6일로 업데이트되었습니다.

2023년 6월 22일 - Wiz 연구진이 문제를 발견하고 Microsoft에 보고했습니다

2023년 6월 24일 - Microsoft, SAS 토큰 만료 발표

2023년 7월 7일, SAS 토큰이 GitHub에서 교체되었습니다

2023년 8월 16일 - Microsoft는 잠재적 영향에 대한 내부 조사를 완료합니다

2023년 9월 18일 - Wiz Research가 이를 공개했습니다

위 내용은 Microsoft AI 연구원이 실수로 개인 키 및 비밀번호 정보를 포함하여 38TB의 내부 데이터를 유출했습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!