详细内容或原文请订阅后点击阅览
微软意外泄露 38TB 敏感数据
云安全公司 Wiz 最近的一份报告显示,由于涉及共享访问签名 (SAS) 令牌的错误配置,微软的人工智能研究部门无意中暴露了惊人的 38 TB 敏感数据。
来源:SecureWorld News _云安全云安全公司 Wiz 最近发布的一份报告显示,由于涉及共享访问签名 (SAS) 令牌的错误配置,微软的 AI 研究部门无意中暴露了高达 38 TB 的敏感数据。
该事件始于 2020 年 7 月,近三年来一直未被发现,源于微软试图通过 GitHub 存储库共享用于图像识别的开源代码和 AI 模型。
用户被指示从 Azure 存储 URL 下载这些模型;然而,配置错误的 URL 授予了对整个存储帐户的未经授权的访问权限,从而暴露了大量额外的私人数据。
暴露的数据包括微软员工计算机的个人备份、微软服务的密码、密钥以及来自数百名员工的 30,000 多条内部 Microsoft Teams 消息。
Wiz 安全研究人员在报告中加入了以下图表,以直观呈现该事件:
Wiz 安全研究人员Symmetry Systems 联合创始人兼首席执行官 Mohit Tiwari 与 SecureWorld News 讨论了该事件在云安全和数据保护方面凸显的更广泛问题:
SecureWorld News“数据本应共享,但如今在云上安全地共享数据就像驾驶带舵柄的汽车一样。速度很快,而且离悬崖边缘很近。
安全关键在于,组织必须了解您拥有哪些数据、谁可以访问这些数据以及如何访问这些数据。Wiz 发现的不是云姿态问题,而是数据清单和访问问题。”
有针对该事件,微软迅速果断地采取了行动。在收到 Wiz 的警告后,微软撤销了 SAS 令牌,有效地阻止了对存储帐户的外部访问。后续调查证实,在此过程中没有客户数据或其他内部服务受到损害。
微软撤销了 SAS 令牌关注 SecureWorld News 了解更多与网络安全相关的故事。
SecureWorld News