微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码

微软人工智能研究人员在GitHub上发布开源训练数据时，意外暴露了数十TB的敏感数据，包括私钥和密码在与TechCrunch分享的研究中，云安全初创公司Wiz表示，它发现了一个属于微软人工智能研究部门的GitHub存储库，这是其针对云托管数据意外泄露正在进行的工作的一部分。GitHub存储库提供了用于图像识别的开源代码和AI模型，读者被指示从Azure存储URL下载模型。然而，Wiz发现该URL被配置为授予整个存储帐户的权限，从而错误地暴露了其他私人数据。这些数据包括38TB的敏感信息，其中包括两名Microsoft员工个人计算机的个人备份。这些数据还包含其他敏感个人数据，包括Microsoft服务的密码、密钥以及来自数百名Microsoft员工的30,000多条内部MicrosoftTeams消息。据Wiz称，该URL自2020年起就暴露了这些数据，该URL也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。Wiz指出，存储帐户并未直接公开。相反，MicrosoftAI开发人员在URL中包含了过于宽松的共享访问签名(SAS)令牌。SAS令牌是Azure使用的一种机制，允许用户创建可共享链接，授予对Azure存储帐户数据的访问权限。Wiz表示，它于6月22日与微软分享了调查结果，两天后，即6月24日，微软撤销了SAS令牌。微软表示，它于8月16日完成了对潜在组织影响的调查。——

GitHub.com 短暂暴露其 SSH 私钥

最大的源代码托管平台GitHub宣布更换其SSH密钥。原因是本周早些时候，它发现GitHub.com的RSASSH私钥在一个公开的库内短暂暴露。它立即采取了行动并展开了调查。问题并不是任何GitHub系统被入侵或客户信息泄露的结果，它认为问题是疏忽大意，认为没有证据表明曝光的密钥遭到了滥用，出于谨慎考虑它更换了密钥。https://github.blog/2023-03-23-we-updated-our-rsa-ssh-host-key/投稿：@ZaiHuabot频道：@TestFlightCN

WSJ：中国敏感数据暴露量居世界之最，美国屈居第二

WSJ：中国敏感数据暴露量居世界之最，美国屈居第二中国政府为了保护敏感数据建立了网络安全和数据保护制度，其严格程度在全球数一数二。然而尽管采取了这些措施，一个跨境地下市场还是围绕着中国公民的数据交易如火如荼地发展起来。这些数据中有很大一部分来自中国政府的另一个大型安全项目：庞大的监控网络。本月早些时候，在一个颇为热门的网络犯罪论坛上，一名匿名用户挂出了从上海警方窃取的约10亿中国公民的数据进行出售。这是历史上最大的信息窃取案之一，包含极为敏感的数据，例如身份证号码、犯罪记录以及详细的案件摘要，例如强奸和家庭暴力指控等。此后，《华尔街日报》又发现了几十个中国数据库，这些数据库在网上的网络犯罪论坛和拥有数千名用户的Telegram社区出售，有时也是免费的。根据《华尔街日报》的审查，其中四个被盗的数据库包含可能来自政府的数据，而其他几个数据库则被宣传为包含政府数据。据追踪此类数据库的服务机构LeakIX称，中国还有数万个数据库仍然暴露在互联网上，没有任何安全保障，数据总量超过700TB，是所有国家中最大的数据量。公安部、中国网信办和上海市政府没有对评论请求作出回应。所有国家都在努力保持其数据的保护。LeakIX的分析显示，美国仅次于中国，有近540TB的数据在公共互联网上被公开。然而，中国的独特之处在于其暴露数据的全面性和敏感性--这是中国将来自政府和企业的多种信息流集中在国营监控平台上的结果。——

微软AI研究人员意外暴露大量内部数据 因云存储链接配置错误

微软AI研究人员意外暴露大量内部数据因云存储链接配置错误云安全公司Wiz的一个团队发现，这些托管在云平台上的数据是通过一个配置错误的链接暴露的。据Wiz称，微软人工智能研究团队在GitHub上发布开源训练内容时无意间泄露了这些数据。据悉，相关存储库的用户得到通知，可以从云存储的相关URL链接下载人工智能模型。但根据Wiz的一篇博客文章，这一链接被错误配置，有整个存储帐户的权限，并且还授予用户对整个存储库的完全控制权限，而不仅仅是只读权限，这意味着用户可以随意删除和覆盖现有文件。据Wiz称，存储库中泄露的数据包括微软员工的个人电脑备份信息，其中包含微软服务密码、密钥和来自359名微软员工的3万多条微软Teams内部消息。Wiz的研究人员表示，开放数据共享是人工智能训练工作的关键组成部分。但如果使用不当，共享大量数据会使公司面临更大风险。Wiz首席技术官兼联合创始人阿米卢特瓦克（AmiLuttwak）说，Wiz在今年6月份与微软分享了这一消息，微软迅速采取行动删除了暴露数据。他补充说，这起事件“本来可能会更糟”。在被问及对此次数据暴露事件的评论时，微软一位发言人表示：“我们已经确认，没有客户数据被泄露，也没有其他内部服务受到影响。”在周一发布的一篇博客文章中，微软表示这起事件涉及一名微软员工将GitHub公共存储库中的URL共享给开源人工智能学习模型，公司已经进行调查，并实施了补救措施。微软表示，存储账户中暴露的数据包括两名前员工电脑配置文件的备份内容，以及这两名员工与同事之间的微软团队Teams内部消息。根据博客称，这次数据暴露是Wiz研究团队在扫描互联网上配置错误存储器时发现的，这是他们针对意外暴露云托管数据所开展工作的组成部分。...PC版：https://www.cnbeta.com.tw/articles/soft/1384855.htm手机版：https://m.cnbeta.com.tw/view/1384855.htm