微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码

微软人工智能研究人员在 GitHub 上发布开源训练数据时,意外暴露了数十 TB 的敏感数据,包括私钥和密码 在与 TechCrunch 分享的研究中,云安全初创公司 Wiz表示,作为其对云端数据意外暴露问题的持续研究的一部分,他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。 该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型,访问者被指示从 Azure 存储 URL 下载模型。然而,Wiz 发现该 URL 被配置为授予整个存储帐户的权限,从而错误地暴露了其他私人数据。 这些数据包括 38 TB 的敏感信息,其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据,包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。 据 Wiz 称,该 URL 自 2020 年起就暴露了这些数据,该 URL 也被错误配置为允许“完全控制”而不是“只读”权限,这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。 Wiz 指出,存储帐户并未直接公开。相反,Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制,允许用户创建可共享链接,授予对 Azure 存储帐户数据的访问权限。 Wiz 表示,它于 6 月 22 日与微软分享了调查结果,两天后,即 6 月 24 日,微软撤销了 SAS 令牌。微软表示,它于 8 月 16 日完成了对潜在组织影响的调查。

相关推荐

封面图片

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露

梅赛德斯奔驰开发者不慎泄露私钥 导致整个公司源代码和其他密钥全部泄露 根据分析梅赛德斯奔驰的 GitHub Enterprise Server 上包含大量机密内容:整个源代码知识产权内容用来连接其他服务的字符串AWS/Azure 连接密钥设计蓝图设计文档SSO 密码API 密钥其他关键信息其中 AWS 和 Microsoft Azure 连接密钥则可以用来登录梅赛德斯奔驰在 AWS 和微软托管的服务器,这又可能导致更多私密数据暴露。开发者不慎在 GitHub 上暴露了令牌:GitHub 允许开发者生成身份验证令牌作为替代密码的验证方案,梅赛德斯奔驰的员工不慎在一个公共 GitHub 中暴露了自己的令牌,这意味着任何人拿到这个令牌后都可以直接访问梅赛德斯奔驰的 GitHub Enterprise Server 并下载所有数据。RedHunt Labs 基于安全验证目的浏览了部分数据,发现里面还包含 AWS 和 Azure 密钥、Postgres 数据库和梅赛德斯的其他源代码等。随后该安全公司通过 TechCrunch 联系梅赛德斯奔驰进行反馈,接到反馈后梅赛德斯奔驰立即确认了问题并撤销了令牌,同时把暴露令牌的整个存储库都删了。是否泄露数据目前还不清楚:扫描显示梅赛德斯奔驰员工是在 2023 年 9 月下旬不慎暴露自己的身份验证令牌,也就是说到撤销的时候已经有几个月,这几个月难免会有其他黑客扫描到令牌进而窃取了所有数据。遗憾的是梅赛德斯奔驰拒绝透露是否知道任何第三方访问了暴露的数据,或者说没人知道该公司有没有能力检查数据遭到异常访问,这可能需要完整的排查过去几个月的日志。 ... PC版: 手机版:
封面图片

SOCRadar披露微软泄露 2.4TB 客户敏感数据

SOCRadar披露微软泄露 2.4TB 客户敏感数据 SOCRadar表示,2022年9月24日,该公司的内置云安全模块检测到微软维护的Azure Blob存储配置错误,其中包含来自一家知名云提供商的敏感数据。分析显示,泄露的数据包括执行证明(PoE)和工作说明书(SOW)文档、用户信息、产品订单/报价、项目细节、个人身份信息(PII)数据,以及可能泄露知识产权的文档。 2.4TB客户敏感数据被泄露,6.5万家公司受到影响。微软已经承认此事,但辩称SOCRadar“夸大了这次泄露事件的范围和严重程度”。
封面图片

微软员工因安全漏洞泄露公司内部密码

微软员工因安全漏洞泄露公司内部密码 微软解决了将公司内部公司文件和凭据暴露给开放互联网的安全漏洞。SOCRadar 的安全研究人员发现了一个托管在 Microsoft Azure 云服务上的开放公共存储服务器,该服务器存储与微软必应搜索引擎相关的内部信息。Azure 存储服务器包含代码、脚本和配置文件,其中包含微软员工用于访问其他内部数据库和系统的密码、密钥和凭证。但存储服务器本身没有密码保护,互联网上的任何人都可以访问。研究人员于2月6日向微软公司通报了这一安全漏洞后,微软于3月5日修复。
封面图片

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub:攻击者利用盗取的OAuth令牌入侵了数十个组织 GitHub今天透露,一名攻击者正在使用偷来的OAuth用户令牌(发放给Heroku和Travis-CI),从私人仓库下载数据。 自2022年4月12日首次发现这一活动以来,威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序(包括npm)的受害组织中访问并窃取数据。 "这些集成商维护的应用程序被GitHub用户使用,包括GitHub本身" GitHub的首席安全官(CSO)Mike Hanley今天透露。 "我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的,因为GitHub没有以原始的可用格式存储这些令牌。" "我们对威胁行为者的其他行为的分析表明,行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容,以寻找可用于透支其他基础设施的秘密。" GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问,因为攻击者使用了一个被泄露的AWS API密钥。 攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。 bleepingcomputer
封面图片

宝马确认发生数据泄露事件:云存储服务器配置错误

宝马确认发生数据泄露事件:云存储服务器配置错误 IT之家 2 月 18 日消息,据外媒 TechCrunch 近日报道,汽车巨头宝马的云存储服务器发生配置错误事件,导致私钥和内部数据等敏感信息暴露。 研究人员 Can Yoleri 表示,其在例行扫描时发现宝马开发环境中的微软 Azure 托管存储服务器(也称“存储桶”)被配置为公共而非私有。 私钥外泄引爆“安全炸弹”,奔驰 GitHub 完整源代码和机密数据已“晒网”4 个月(2024/02/01) IT之家 2 月 1 日消息,梅赛德斯-奔驰由于没有妥善处理 GitHub 私钥,导致外界可不受限制地访问内部 GitHub 企业服务,而且整个源代码都被泄露出来。
封面图片

GitHub 与微信达成合作 |

GitHub 与微信达成合作 | 微软 GitHub 官方于 12 月 20 日发布公报,宣布 Github 和腾讯微信达成合作,帮助保护所有公共仓库和私有仓库的共同用户。GitHub 密钥扫描会通过搜索存储库中的已知类型的密钥来保护用户。通过识别和标记这些密钥,有助于防止数据泄露和欺诈。腾讯微信令牌则允许用户验证微信公众号和小程序开发者,获取业务应用的敏感信息,并可用于验证商家身份。GitHub 会将在公共仓库中找到的访问令牌转发给微信,微信将通知受影响的用户。微信鼓励用户删除 GitHub 上泄露的 API token,并在微信支付商家平台或微信公众号平台上创建新 token。

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人