根据云安全公司 Wiz 的最新报告披露,微软人工智能研究团队意外泄露了 38TB 的公司私人数据。
毫无疑问,38 TB是一个非常庞大的数据总量。
被泄露的数据包括微软两名员工电脑的完整备份。这些备份包含了敏感的个人数据,还包括微软服务的密码、密钥以及来自 350 多名微软员工的 30,000 多条内部 Microsoft Teams 消息。
那么,这是怎么发生的呢?
据报告内容说,微软的人工智能团队上传了一系列的训练数据,其中包含用于图像识别的开源代码和人工智能模型。微软的云存储服务 Azure 向访问 Github 仓库的用户提供了一个链接,以便下载这些模型。
问题就出在这个链接上。
微软AI团队提供的链接可以让访问者完全访问整个 Azure 存储账户。访问者不仅可以查看账户中的所有内容,还可以上传、覆盖或删除文件。
Wiz 报告说,之所以出现这样的情况,是因为 Azure 的一项名为共享访问签名(SAS)令牌的功能造成的,该令牌是 “授予 Azure 存储数据访问权限的签名 URL”。SAS 令牌可以设置为限制访问哪些文件。但是,这个特定链接被配置为完全访问了。
更可怕的是,这些数据似乎自 2020 年以来就一直暴露在外,也就是说3年之后才被发现!
今年 6 月 22 日,Wiz 联系了微软,就他们的发现提出了警示。两天后,微软通过操作,让 SAS 的令牌失效,解决了这个问题。微软于 8 月份开展并完成了对潜在影响的调查。
微软向 TechCrunch 提供了一份声明,声称 “没有客户数据被暴露,也没有其他内部服务因为这个问题而面临风险”。
文章转载自”mashable“
文章目录
暂无评论...
发评论,每天都得现金奖励!超多礼品等你来拿
登录 后,在评论区留言并审核通过后,即可获得现金奖励,奖励规则可见: 查看奖励规则