Les chercheurs de Microsoft AI ont accidentellement divulgué 38 To de données internes, y compris des clés privées et des informations de mot de passe.

Il n'est pas nécessaire de changer le sens original, le contenu qui doit être réécrit est : Source : IT Home

Wiz Research a annoncé aujourd'hui qu'une violation de données a été découverte dans le référentiel GitHub de Microsoft AI, causée par un jeton SAS (IT Home Note : Shared Access Signature) mal configuré

En termes de détails, l'équipe de recherche en intelligence artificielle de Microsoft a publié des données de formation open source sur GitHub, mais a accidentellement exposé 38 To d'autres données internes, y compris des sauvegardes sur disque des ordinateurs personnels de plusieurs employés de Microsoft. Ces sauvegardes contiennent des informations confidentielles, des clés privées, des mots de passe et des milliers de messages internes de l'équipe Microsoft, impliquant plus de 30 000 employés

Ce référentiel GitHub fournit du code open source et des modèles d'IA pour la reconnaissance d'images. Les visiteurs doivent télécharger le modèle à partir de l'URL de stockage Azure. Cependant, Wiz a découvert que les autorisations pour cette URL étaient mal configurées, ce qui entraînait l'octroi d'autorisations pour l'intégralité du compte de stockage, exposant ainsi par erreur d'autres données privées

Selon les rapports, les URL impliquées auraient exposé ces données depuis 2020. De plus, l'URL n'a pas été configurée correctement pour autoriser les autorisations « Contrôle total » au lieu de « Lecture seule ». Cela signifie que toute personne sachant comment afficher cette URL peut potentiellement supprimer, remplacer et injecter du contenu malveillant

Wiz a déclaré avoir signalé le problème à Microsoft le 22 juin, et deux jours plus tard, le 24 juin, Microsoft a annoncé la révocation du jeton SAS. Microsoft a déclaré avoir terminé son enquête sur l'impact organisationnel potentiel le 16 août.

Voici la chronologie précise de l'ensemble de l'incident :

Le 20 juillet 2020, le token SAS a été soumis pour la première fois à GitHub ; la date d'expiration est fixée au 5 octobre 2021

6 octobre 2021 - Date d'expiration du jeton SAS mise à jour au 6 octobre 2051

22 juin 2023 - L'équipe de recherche de Wiz a découvert le problème et l'a signalé à Microsoft

24 juin 2023 - Microsoft annonce l'expiration du jeton SAS

Le 7 juillet 2023, le token SAS a été remplacé sur GitHub

16 août 2023 - Microsoft termine son enquête interne sur l'impact potentiel

18 septembre 2023 - Wiz Research l'a rendu public

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!