SOCRadar披露微软泄露 2.4TB 客户敏感数据

SOCRadar披露微软泄露 2.4TB 客户敏感数据 SOCRadar表示,2022年9月24日,该公司的内置云安全模块检测到微软维护的Azure Blob存储配置错误,其中包含来自一家知名云提供商的敏感数据。分析显示,泄露的数据包括执行证明(PoE)和工作说明书(SOW)文档、用户信息、产品订单/报价、项目细节、个人身份信息(PII)数据,以及可能泄露知识产权的文档。 2.4TB客户敏感数据被泄露,6.5万家公司受到影响。微软已经承认此事,但辩称SOCRadar“夸大了这次泄露事件的范围和严重程度”。

相关推荐

封面图片

微软被曝泄露 2.4TB 客户敏感数据,6.5 万家公司受影响

微软被曝泄露 2.4TB 客户敏感数据,6.5 万家公司受影响 网络安全供应商 SOCRadar 最近向微软通报了一次重大数据泄露事件,声称超过 2.4TB 客户敏感数据被泄露,6.5 万家公司受到影响。 微软已经承认此事,但辩称 SOCRadar“夸大了这次泄露事件的范围和严重程度”
封面图片

微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码

微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码 在与 TechCrunch 分享的研究中,云安全初创公司 Wiz表示,作为其对云端数据意外暴露问题的持续研究的一部分,他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。 该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被指示从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储帐户的权限,从而错误地暴露了其他私人数据。 这些数据包括 38 TB 的敏感信息,其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据,包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。 据 Wiz 称,该 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。 Wiz 指出,存储帐户并未直接公开。相反,Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制,允许用户创建可共享链接,授予对 Azure 存储帐户数据的访问权限。 Wiz 表示,它于 6 月 22 日与微软分享了调查结果,两天后,即 6 月 24 日,微软撤销了 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。
封面图片

戴尔披露客户实际地址数据泄露

戴尔披露客户实际地址数据泄露 戴尔周四通知客户,其遭遇了涉及客户姓名和实际地址的数据泄露。通知邮件写到写道,该公司正在调查“涉及戴尔门户网站的事件,该门户包含一个数据库,其中包含与从戴尔购买相关的有限类型的客户信息。”在此次泄露的信息包括客户姓名、实际地址和“戴尔硬件和订单信息,包括服务标签、商品描述、订单日期和相关保修信息”。戴尔没有透露该事件是由外部恶意人员还是无意错误造成的。该公司表示,泄露的数据不包括电子邮件地址、电话号码、财务或付款信息,或“任何高度敏感的客户信息”。在黑客论坛上,有人声称窃取了大约4900万客户的信息,这些数据与戴尔披露的被盗数据相符。
封面图片

访问网站时保护自己的敏感数据

访问网站时保护自己的敏感数据 如果您不想每次访问网站时都花时间阅读用户协议,可以使用 ToSDR 服务。这项服务可以帮助您在访问网站资源时保护自己的敏感数据。 该服务会对网站进行评估,并给出一个评级,帮助您了解隐私风险有多大。评级 "F"表示隐私非常糟糕,"A"表示非常好。此外,该服务还有一个扩展功能,使用起来可以更方便。 #tools
封面图片

戴尔披露一起客户物理地址数据泄露事件

戴尔披露一起客户物理地址数据泄露事件 访问:Saily - 使用eSIM实现手机全球数据漫游 安全可靠 源自NordVPN 戴尔公司写道,此次漏洞中被访问的信息包括客户姓名、实际地址以及"戴尔硬件和订单信息,包括服务标签、项目描述、订单日期和相关保修信息"。公司没有说明此次事件是由恶意外来人员还是无心之失造成的。据该公司称,被泄露的数据不包括电子邮件地址、电话号码、财务或付款信息,也不包括"任何高度敏感的客户信息"。该公司在信息中淡化了漏洞的影响。戴尔在电子邮件中写道:"鉴于所涉及的信息类型,我们认为客户不会面临重大风险。"戴尔公司提出了一些具体问题,比如有多少客户受到了影响、外泄是如何发生的,以及为什么公司认为物理地址外泄不会给客户带来"重大风险",戴尔公司在回复中提供了一封发给受影响客户的模板版电子邮件。戴尔公司一位不愿透露姓名的发言人随后补充说:"我们不会披露正在进行的调查中的这一具体信息",但没有说明原因。 ... PC版: 手机版:
封面图片

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据

#互联网观察 ▎多因素身份验证器Authy泄露3342万名用户敏感数据 美国Twilio公司于7月1日宣布,由于未保护的API端点,黑客获得了其多因素认证工具Authy的大量用户电话号码。Twilio已采取措施保护该端点,并不再允许未经认证的请求。公司呼吁用户立即将Authy应用更新到最新版。 6月27日,黑客组织ShinyHunters在暗网发布了从Twilio获取的包含约3300万用户电话号码的CSV文件。文件中包含Authy的账号ID和电话号码。攻击者通过向未保护的API端点输入大量电话号码,获取了有效号码的相关信息。Twilio已保护其API,防止进一步滥用。 Twilio警告称,尽管Authy账号未被侵害,威胁行为者可能会利用关联的电话号码进行钓鱼或短信欺诈攻击,呼吁所有Authy用户提高警惕。公司在2022年也曾遭遇钓鱼攻击,导致客户数据泄露。 ▎新闻来源 频道 @AppDoDo

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人