|
云安全公司 Wiz 今天發布博客介紹該公司與微軟協調解決的微軟一個安全問題,Wiz 發現微軟的達TB的等藍點網 AI 研究人員不慎將存儲在 Azure 上的高達 38TB 的存儲庫暴露了,此次問題屬于單純的究人記錄鄭州二七外圍上門(本地高端外圍)外圍vx《365-2895》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達配置問題,并非安全漏洞。慎泄數據 今年 6 月份,露高聊天Wiz 在 GitHub 上發現 Microsoft AI 研究人員使用的包含 GitHub 存儲庫中包含的 Azure 存儲鏈接分配了太簡單的訪問令牌,這導致任何人拿到鏈接都可以直接訪問所有數據。密碼密鑰
微軟 AI 研究人員犯的這個錯誤和之前國內不少用戶使用某度網盤共享內容犯的錯誤基本類似,那就是達TB的等藍點網鄭州二七外圍上門(本地高端外圍)外圍vx《365-2895》提供外圍女上門服務快速選照片快速安排不收定金面到付款30分鐘可到達創建共享鏈接時,沒有進行權限控制,究人記錄也就是慎泄數據完全公開共享,不需要輸入密碼,露高聊天只要拿到鏈接就能訪問。包含 為此百度網盤此前還更新了共享機制,密碼密鑰默認不再發布公開共享鏈接,微軟而是需要使用訪問密碼才能訪問,這樣可以避免其他人拿到鏈接就長期訪問數據。 好消息是這份存儲庫基本不涉及微軟的機密或用戶的數據,里面唯一算是敏感的內容是兩名微軟員工的個人備份數據,這里面包含了不少賬號密碼、密鑰和 Microsoft Teams 聊天記錄。 調查發現這個問題從 2020 年來就存在,也就是這個高達 38TB 數據的存儲庫從 2020 年開始就可以公開訪問,一直沒有被人發現,或者說有人發現但并沒有通知微軟。 Wiz 在 6 月 22 日負責任的向微軟通報了這個問題,隨后微軟安全響應中心介入處理,到 6 月 24 日微軟撤銷了這個 Azure 存儲庫的共享訪問簽名令牌,暴露在網上的鏈接失效。 今天微軟響應中心披露了這件事,微軟強調沒有泄露客戶數據,微軟內部服務也沒有面臨風險。 不過按理說這名微軟員工泄露了一些密碼和密鑰,如果被黑客發現的話可能會利用這些數據入侵微軟,既然微軟說內部服務沒有面臨風險,那我們姑且認為 Wiz 就是第一個發現這個問題的人吧。 |
