SOCRadar披露微软泄露 2.4TB 客户敏感数据

SOCRadar披露微软泄露 2.4TB 客户敏感数据 SOCRadar表示,2022年9月24日,该公司的内置云安全模块检测到微软维护的Azure Blob存储配置错误,其中包含来自一家知名云提供商的敏感数据。分析显示,泄露的数据包括执行证明(PoE)和工作说明书(SOW)文档、用户信息、产品订单/报价、项目细节、个人身份信息(PII)数据,以及可能泄露知识产权的文档。 2.4TB客户敏感数据被泄露,6.5万家公司受到影响。微软已经承认此事,但辩称SOCRadar“夸大了这次泄露事件的范围和严重程度”。

相关推荐

封面图片

微软被曝泄露 2.4TB 客户敏感数据,6.5 万家公司受影响

微软被曝泄露 2.4TB 客户敏感数据,6.5 万家公司受影响 网络安全供应商 SOCRadar 最近向微软通报了一次重大数据泄露事件,声称超过 2.4TB 客户敏感数据被泄露,6.5 万家公司受到影响。 微软已经承认此事,但辩称 SOCRadar“夸大了这次泄露事件的范围和严重程度”
封面图片

微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码

微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码 在与 TechCrunch 分享的研究中,云安全初创公司 Wiz表示,作为其对云端数据意外暴露问题的持续研究的一部分,他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。 该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被指示从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储帐户的权限,从而错误地暴露了其他私人数据。 这些数据包括 38 TB 的敏感信息,其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据,包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。 据 Wiz 称,该 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。 Wiz 指出,存储帐户并未直接公开。相反,Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制,允许用户创建可共享链接,授予对 Azure 存储帐户数据的访问权限。 Wiz 表示,它于 6 月 22 日与微软分享了调查结果,两天后,即 6 月 24 日,微软撤销了 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。
封面图片

戴尔披露客户实际地址数据泄露

戴尔披露客户实际地址数据泄露 戴尔周四通知客户,其遭遇了涉及客户姓名和实际地址的数据泄露。通知邮件写到写道,该公司正在调查“涉及戴尔门户网站的事件,该门户包含一个数据库,其中包含与从戴尔购买相关的有限类型的客户信息。”在此次泄露的信息包括客户姓名、实际地址和“戴尔硬件和订单信息,包括服务标签、商品描述、订单日期和相关保修信息”。戴尔没有透露该事件是由外部恶意人员还是无意错误造成的。该公司表示,泄露的数据不包括电子邮件地址、电话号码、财务或付款信息,或“任何高度敏感的客户信息”。在黑客论坛上,有人声称窃取了大约4900万客户的信息,这些数据与戴尔披露的被盗数据相符。
封面图片

搜狗输入法存在敏感数据泄露的风险

搜狗输入法存在敏感数据泄露的风险 加拿大多伦多大学的公民实验室发现,腾讯开发的 搜狗输入法 Windows版和Android版在上传用户的输入数据至服务器时,没有使用HTTPS,而是纯 HTTP 配合自行开发的 EncryptWall 加密。而EncryptWall存在缺陷,网络窃听者可以利用算法缺陷获取明文。明文信息包括用户输入内容、手写内容在内的敏感信息。 (iOS版在上传这些数据时使用了 HTTPS,暂时未发现风险。) Windows版 13.7,Android版 11.26,iOS版 11.25 以上已采取措施缓解该问题,建议用户更新。
封面图片

访问网站时保护自己的敏感数据

访问网站时保护自己的敏感数据 如果您不想每次访问网站时都花时间阅读用户协议,可以使用 ToSDR 服务。这项服务可以帮助您在访问网站资源时保护自己的敏感数据。 该服务会对网站进行评估,并给出一个评级,帮助您了解隐私风险有多大。评级 "F"表示隐私非常糟糕,"A"表示非常好。此外,该服务还有一个扩展功能,使用起来可以更方便。 #tools
封面图片

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据 美国Twilio公司于7月1日宣布,由于未保护的API端点,黑客获得了其多因素认证工具Authy的大量用户电话号码。Twilio已采取措施保护该端点,并不再允许未经认证的请求。公司呼吁用户立即将Authy应用更新到最新版。 6月27日,黑客组织ShinyHunters在暗网发布了从Twilio获取的包含约3300万用户电话号码的CSV文件。文件中包含Authy的账号ID和电话号码。攻击者通过向未保护的API端点输入大量电话号码,获取了有效号码的相关信息。Twilio已保护其API,防止进一步滥用。 Twilio警告称,尽管Authy账号未被侵害,威胁行为者可能会利用关联的电话号码进行钓鱼或短信欺诈攻击,呼吁所有Authy用户提高警惕。公司在2022年也曾遭遇钓鱼攻击,导致客户数据泄露。 ▎新闻来源 频道 @AppDoDo

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人