|
云安全公司 Wiz 今天發(fā)布博客介紹該公司與微軟協(xié)調(diào)解決的微軟一個(gè)安全問題,Wiz 發(fā)現(xiàn)微軟的達(dá)TB的等藍(lán)點(diǎn)網(wǎng) AI 研究人員不慎將存儲(chǔ)在 Azure 上的高達(dá) 38TB 的存儲(chǔ)庫(kù)暴露了,此次問題屬于單純的究人記錄天津紅橋(找小姐找服務(wù))vx《189=4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)配置問題,并非安全漏洞。慎泄數(shù)據(jù) 今年 6 月份,露高聊天Wiz 在 GitHub 上發(fā)現(xiàn) Microsoft AI 研究人員使用的包含 GitHub 存儲(chǔ)庫(kù)中包含的 Azure 存儲(chǔ)鏈接分配了太簡(jiǎn)單的訪問令牌,這導(dǎo)致任何人拿到鏈接都可以直接訪問所有數(shù)據(jù)。密碼密鑰
微軟 AI 研究人員犯的這個(gè)錯(cuò)誤和之前國(guó)內(nèi)不少用戶使用某度網(wǎng)盤共享內(nèi)容犯的錯(cuò)誤基本類似,那就是達(dá)TB的等藍(lán)點(diǎn)網(wǎng)天津紅橋(找小姐找服務(wù))vx《189=4143》提供外圍女上門服務(wù)快速選照片快速安排不收定金面到付款30分鐘可到達(dá)創(chuàng)建共享鏈接時(shí),沒有進(jìn)行權(quán)限控制,究人記錄也就是慎泄數(shù)據(jù)完全公開共享,不需要輸入密碼,露高聊天只要拿到鏈接就能訪問。包含 為此百度網(wǎng)盤此前還更新了共享機(jī)制,密碼密鑰默認(rèn)不再發(fā)布公開共享鏈接,微軟而是需要使用訪問密碼才能訪問,這樣可以避免其他人拿到鏈接就長(zhǎng)期訪問數(shù)據(jù)。 好消息是這份存儲(chǔ)庫(kù)基本不涉及微軟的機(jī)密或用戶的數(shù)據(jù),里面唯一算是敏感的內(nèi)容是兩名微軟員工的個(gè)人備份數(shù)據(jù),這里面包含了不少賬號(hào)密碼、密鑰和 Microsoft Teams 聊天記錄。 調(diào)查發(fā)現(xiàn)這個(gè)問題從 2020 年來(lái)就存在,也就是這個(gè)高達(dá) 38TB 數(shù)據(jù)的存儲(chǔ)庫(kù)從 2020 年開始就可以公開訪問,一直沒有被人發(fā)現(xiàn),或者說(shuō)有人發(fā)現(xiàn)但并沒有通知微軟。 Wiz 在 6 月 22 日負(fù)責(zé)任的向微軟通報(bào)了這個(gè)問題,隨后微軟安全響應(yīng)中心介入處理,到 6 月 24 日微軟撤銷了這個(gè) Azure 存儲(chǔ)庫(kù)的共享訪問簽名令牌,暴露在網(wǎng)上的鏈接失效。 今天微軟響應(yīng)中心披露了這件事,微軟強(qiáng)調(diào)沒有泄露客戶數(shù)據(jù),微軟內(nèi)部服務(wù)也沒有面臨風(fēng)險(xiǎn)。 不過(guò)按理說(shuō)這名微軟員工泄露了一些密碼和密鑰,如果被黑客發(fā)現(xiàn)的話可能會(huì)利用這些數(shù)據(jù)入侵微軟,既然微軟說(shuō)內(nèi)部服務(wù)沒有面臨風(fēng)險(xiǎn),那我們姑且認(rèn)為 Wiz 就是第一個(gè)發(fā)現(xiàn)這個(gè)問題的人吧。 |
