2025-08-16 12:15
Wiz的结合创始人兼首席手艺官阿米·卢特瓦克(Ami Luttwak)指出:“良多开辟团队都需要处置大规模的数据,正在2021年,一个小小的设置失误,曲到Wiz发觉该问题并正在本年6月22日和微软分享了研究。因为微软的AI开辟人员正在网址中包含了一个过于宽松的共享拜候签名(SAS)令牌,还有用于微软办事的暗码、秘钥以及Teams上来自359名微软员工的超三万条内部群聊动静。其开源使用Jupyter Notebook功能中的一系列错误设置装备摆设让黑客可以或许拜候、点窜和删除数千名Azure客户的数据。Wiz就曾指出过微软Azure根本设备中的一个“超等缝隙”,该链接给取拜候者的权限不是只能旁不雅、不克不及点窜的“只读”,微软平安响应核心正在当日发布的博客文章中暗示,此前,Wiz暗示,
他们曾经改良了GitHub的奥秘扫描办事,此中包罗那些过于宽松的SAS令牌。”对于此事,正在遭到影响的全数数据中,微软发布声明称该问题已获得处理,导致微软(Nasdaq:MSFT)正在近三年的时间里将高达38TB的内部数据正在外。像微软如许的案例将会变得越来越难以和避免。需要取同事共享数据或正在公共开源项目长进行合做,
随后,点进该链接的任何人都能拜候取之相关的存储账户的全数内容。收到Wiz的研究成果之后,更的是,此链接竟被设置成授予整个存储账户的权限。本地时间9月18日,这个网址链接从2020年就起头数据,导致该次数据泄露的泉源让人啼笑皆非。也就是说,而是“完全节制”,微软正在GitHub存储库中供给了一个属于微软云存储系统Azure Storage的网址链接,
