Microsoft AI 연구원들이 실수로 개인 키와 비밀번호를 포함한 38TB의 내부 데이터를 유출했습니다.

IT House 뉴스 9월 18일, 클라우드 보안 스타트업 Wiz Research는 Microsoft AI의 GitHub 저장소에서 데이터 유출이 발견되었다고 발표했습니다. 이는 모두 잘못 구성된 SAS(IT House note: Shared access Signature) 토큰으로 인해 발생했습니다.

자세히 살펴보면, 마이크로소프트 AI 연구팀이 GitHub에 오픈소스 교육 데이터를 공개했지만, 실수로 마이크로소프트 직원 여러 명의 개인 PC 디스크 백업을 포함해 38TB에 달하는 기타 내부 데이터도 노출됐다. 이 디스크 백업에는 비밀, 개인 키, 암호 및 수백 명의 Microsoft 직원이 보낸 30,000개 이상의 내부 Microsoft Teams 메시지가 포함되어 있습니다.

이 GitHub 리포지토리는 이미지 인식을 위한 오픈 소스 코드와 AI 모델을 제공하며, 방문자는 Azure Storage URL에서 모델을 다운로드하라는 요청을 받습니다. 그러나 Wiz는 해당 URL이

전체 스토리지 계정에 권한을 부여하도록 구성되어 실수로 다른 개인 데이터를 노출

한다는 사실을 발견했습니다. 2020년부터 데이터를 노출했다고 알려진 문제의 URL도 "읽기 전용" 권한 대신 "모든 권한"을 허용하도록 잘못 구성되어 있어, 어디를 볼지 아는 사람이라면 누구나 삭제할 수 있습니다. 악성 콘텐츠를 삽입합니다.

Wiz는 6월 22일에 이 문제를 Microsoft에 보고했습니다. Microsoft는 이틀 뒤인 6월 24일에 SAS 토큰의 폐지를 발표했습니다. Microsoft는 8월 16일에 잠재적인 조직 영향에 대한 조사를 완료했다고 밝혔습니다

전체 사건의 구체적인 타임라인은 다음과 같습니다

:

2020년 7월 20일 - SAS 토큰이 GitHub에 처음으로 만료일을 2021년 10월 5일로 설정했습니다.

• 2021년 10월 6일 - SAS 토큰 만료일이 2051년 10월 6일로 업데이트되었습니다
• 2023년 6월 22일 - Wiz Research에서 이 문제를 발견하고 Microsoft에 보고했습니다
• 2023년 6월 24일 - Microsoft, SAS 토큰 만료 발표
• 2023년 7월 7일 - GitHub에서 SAS 토큰이 대체됨
• 2023년 8월 16일 - Microsoft는 잠재적 영향에 대한 내부 조사를 완료합니다
• 2023년 9월 18일 - Wiz Research가 이를 공개했습니다
참고

위 내용은 Microsoft AI 연구원들이 실수로 개인 키와 비밀번호를 포함한 38TB의 내부 데이터를 유출했습니다.의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!