微軟的AI研究人員不慎泄露高達(dá)38TB的數(shù)據(jù) 包含密碼/密鑰/聊天記錄等 – 藍(lán)點(diǎn)網(wǎng)
云安全公司 Wiz 今天發(fā)布博客介紹該公司與微軟協(xié)調(diào)解決的微軟一個安全問題,Wiz 發(fā)現(xiàn)微軟的達(dá)TB的等藍(lán)點(diǎn)網(wǎng) AI 研究人員不慎將存儲在 Azure 上的高達(dá) 38TB 的存儲庫暴露了,此次問題屬于單純的究人記錄天津紅橋(找小姐找服務(wù))vx《189=4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)配置問題,并非安全漏洞。慎泄數(shù)據(jù)
今年 6 月份,露高聊天Wiz 在 GitHub 上發(fā)現(xiàn) Microsoft AI 研究人員使用的包含 GitHub 存儲庫中包含的 Azure 存儲鏈接分配了太簡單的訪問令牌,這導(dǎo)致任何人拿到鏈接都可以直接訪問所有數(shù)據(jù)。密碼密鑰
微軟 AI 研究人員犯的這個錯誤和之前國內(nèi)不少用戶使用某度網(wǎng)盤共享內(nèi)容犯的錯誤基本類似,那就是達(dá)TB的等藍(lán)點(diǎn)網(wǎng)天津紅橋(找小姐找服務(wù))vx《189=4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)創(chuàng)建共享鏈接時,沒有進(jìn)行權(quán)限控制,究人記錄也就是慎泄數(shù)據(jù)完全公開共享,不需要輸入密碼,露高聊天只要拿到鏈接就能訪問。包含
為此百度網(wǎng)盤此前還更新了共享機(jī)制,密碼密鑰默認(rèn)不再發(fā)布公開共享鏈接,微軟而是需要使用訪問密碼才能訪問,這樣可以避免其他人拿到鏈接就長期訪問數(shù)據(jù)。
好消息是這份存儲庫基本不涉及微軟的機(jī)密或用戶的數(shù)據(jù),里面唯一算是敏感的內(nèi)容是兩名微軟員工的個人備份數(shù)據(jù),這里面包含了不少賬號密碼、密鑰和 Microsoft Teams 聊天記錄。
調(diào)查發(fā)現(xiàn)這個問題從 2020 年來就存在,也就是這個高達(dá) 38TB 數(shù)據(jù)的存儲庫從 2020 年開始就可以公開訪問,一直沒有被人發(fā)現(xiàn),或者說有人發(fā)現(xiàn)但并沒有通知微軟。
Wiz 在 6 月 22 日負(fù)責(zé)任的向微軟通報了這個問題,隨后微軟安全響應(yīng)中心介入處理,到 6 月 24 日微軟撤銷了這個 Azure 存儲庫的共享訪問簽名令牌,暴露在網(wǎng)上的鏈接失效。
今天微軟響應(yīng)中心披露了這件事,微軟強(qiáng)調(diào)沒有泄露客戶數(shù)據(jù),微軟內(nèi)部服務(wù)也沒有面臨風(fēng)險。
不過按理說這名微軟員工泄露了一些密碼和密鑰,如果被黑客發(fā)現(xiàn)的話可能會利用這些數(shù)據(jù)入侵微軟,既然微軟說內(nèi)部服務(wù)沒有面臨風(fēng)險,那我們姑且認(rèn)為 Wiz 就是第一個發(fā)現(xiàn)這個問題的人吧。