來源:IT之家
云安全初創公司 Wiz Research 今日發布公告稱,在微軟 AI 的 GitHub 存儲庫中發現了一起數據泄露事件,這一切由一個配置錯誤的 SAS(IT 之家注:共享訪問簽名)令牌引起。
細節方面,微軟的 AI 研究團隊在 GitHub 上發布了開源訓練數據,但是一同意外暴露了 38TB 的其他內部數據,包括微軟幾名員工個人 PC 的磁盤備份。而在這個磁盤備份中,又包含了機密、私人密鑰、密碼和數百名 Microsoft 員工超過 30000 條 Microsoft Teams 內部消息。
該 GitHub 存儲庫提供了用于圖像識別的開源代碼和 AI 模型,訪問者被要求從 Azure 存儲 URL 下載模型。然而,Wiz 發現該 URL 被配置為授予整個存儲賬戶的權限,從而錯誤地暴露了其他私人數據。
據稱,涉事 URL 自 2020 年起就暴露了這些數據,該 URL 也被錯誤配置為允許 " 完全控制 " 而不是 " 只讀 " 權限,這意味著任何知道在哪里查看的人都可能刪除、替換和注入惡意內容進入其中。
Wiz 表示它已經于 6 月 22 日向微軟報告了這一問題,兩天后的 6 月 24 日,微軟宣布撤銷 SAS 令牌。微軟表示,它于 8 月 16 日完成了對潛在組織影響的調查。
整個事件的具體時間線如下:
2020 年 7 月 20 日 - SAS 令牌首次提交到 GitHub;到期日定為 2021 年 10 月 5 日
2021 年 10 月 6 日 - SAS 令牌到期日更新為 2051 年 10 月 6 日
2023 年 6 月 22 日 - Wiz Research 發現問題并向微軟報告
2023 年 6 月 24 日 - 微軟宣布 SAS 令牌失效
2023 年 7 月 7 日 - SAS 令牌在 GitHub 上被替換
2023 年 8 月 16 日 - 微軟完成對潛在影響的內部調查
2023 年 9 月 18 日 - Wiz Research 公開披露此事
