IT House News le 18 septembre, la startup de sécurité cloud Wiz Research a annoncé aujourd'hui qu'une fuite de données avait été découverte dans le référentiel GitHub de Microsoft AI, toutes causées par un jeton SAS (IT House note : Signature d'accès partagé) mal configuré.
En termes de détails, l'équipe de recherche en IA de Microsoft a publié des données de formation open source sur GitHub, mais a également accidentellement exposé 38 To d'autres données internes, y compris des sauvegardes sur disque des PC personnels de plusieurs employés de Microsoft. Cette sauvegarde sur disque contenait des secrets, des clés privées, des mots de passe et plus de 30 000 messages internes Microsoft Teams provenant de centaines d'employés de Microsoft.
Ce référentiel GitHub fournit du code open source et des modèles d'IA pour la reconnaissance d'images, et les visiteurs sont invités à télécharger le modèle à partir d'une URL de stockage Azure. Cependant, Wiz a découvert que l'URL était configurée pour
accorder des autorisations à l'ensemble du compte de stockage, exposant ainsi par erreur d'autres données privées. L'URL en question, qui aurait exposé ces données depuis 2020, a également été mal configurée pour autoriser les autorisations "Contrôle total" au lieu de "Lecture seule", ce qui signifie qu'elle pourrait être supprimée par toute personne sachant où chercher, à la place. et y injecter du contenu malveillant.
Wiz a signalé ce problème à Microsoft le 22 juin. Microsoft a annoncé la révocation du token SAS deux jours plus tard, le 24 juin. Microsoft a déclaré avoir terminé son enquête sur l'impact organisationnel potentiel le 16 août
La chronologie spécifique de l'ensemble de l'incident est la suivante:
20 juillet 2020 - Premier engagement du jeton SAS sur GitHub ; date d'expiration fixée au 5 octobre 2021
Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!