微软AI研究员在 GitHub 意外泄露 38TB 私密数据
云安全公司 Wiz 发布报告,发现属于微软AI研究部门的一个储存库出现了意外数据泄露,其目的是提供图像识别模型代码和AI模型下载。
扫描显示该帐户包含了 38TB 的额外数据,其中包括 Microsoft 员工的个人电脑备份。这些备份包含敏感的个人数据,包括 Microsoft 服务的密码、密钥以及来自 359 名 Microsoft 员工的 30000 多条聊天记录。
这种情况是 Azure 共享访问签名 (SAS) 令牌配置的权限过高导致。该签名 URL 被配置为了"完全控制"权限而不是只读权限,这意味着攻击者可以查看存储帐户中的所有文件,还可以删除和覆盖现有文件。甚至可能已将恶意代码注入到该存储帐户中的所有AI模型中,感染每个信任 Microsoft GitHub 存储库的用户。
Wiz
投稿:@ZaiHuaBot
频道:@TestFlightCN
云安全公司 Wiz 发布报告,发现属于微软AI研究部门的一个储存库出现了意外数据泄露,其目的是提供图像识别模型代码和AI模型下载。
扫描显示该帐户包含了 38TB 的额外数据,其中包括 Microsoft 员工的个人电脑备份。这些备份包含敏感的个人数据,包括 Microsoft 服务的密码、密钥以及来自 359 名 Microsoft 员工的 30000 多条聊天记录。
这种情况是 Azure 共享访问签名 (SAS) 令牌配置的权限过高导致。该签名 URL 被配置为了"完全控制"权限而不是只读权限,这意味着攻击者可以查看存储帐户中的所有文件,还可以删除和覆盖现有文件。甚至可能已将恶意代码注入到该存储帐户中的所有AI模型中,感染每个信任 Microsoft GitHub 存储库的用户。
Wiz
投稿:@ZaiHuaBot
频道:@TestFlightCN
