微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码

微软人工智能研究人员在GitHub上发布开源训练数据时，意外暴露了数十TB的敏感数据，包括私钥和密码在与TechCrunch分享的研究中，云安全初创公司Wiz表示，它发现了一个属于微软人工智能研究部门的GitHub存储库，这是其针对云托管数据意外泄露正在进行的工作的一部分。GitHub存储库提供了用于图像识别的开源代码和AI模型，读者被指示从Azure存储URL下载模型。然而，Wiz发现该URL被配置为授予整个存储帐户的权限，从而错误地暴露了其他私人数据。这些数据包括38TB的敏感信息，其中包括两名Microsoft员工个人计算机的个人备份。这些数据还包含其他敏感个人数据，包括Microsoft服务的密码、密钥以及来自数百名Microsoft员工的30,000多条内部MicrosoftTeams消息。据Wiz称，该URL自2020年起就暴露了这些数据，该URL也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。Wiz指出，存储帐户并未直接公开。相反，MicrosoftAI开发人员在URL中包含了过于宽松的共享访问签名(SAS)令牌。SAS令牌是Azure使用的一种机制，允许用户创建可共享链接，授予对Azure存储帐户数据的访问权限。Wiz表示，它于6月22日与微软分享了调查结果，两天后，即6月24日，微软撤销了SAS令牌。微软表示，它于8月16日完成了对潜在组织影响的调查。——

微软AI研究人员意外暴露大量内部数据 因云存储链接配置错误

微软AI研究人员意外暴露大量内部数据因云存储链接配置错误云安全公司Wiz的一个团队发现，这些托管在云平台上的数据是通过一个配置错误的链接暴露的。据Wiz称，微软人工智能研究团队在GitHub上发布开源训练内容时无意间泄露了这些数据。据悉，相关存储库的用户得到通知，可以从云存储的相关URL链接下载人工智能模型。但根据Wiz的一篇博客文章，这一链接被错误配置，有整个存储帐户的权限，并且还授予用户对整个存储库的完全控制权限，而不仅仅是只读权限，这意味着用户可以随意删除和覆盖现有文件。据Wiz称，存储库中泄露的数据包括微软员工的个人电脑备份信息，其中包含微软服务密码、密钥和来自359名微软员工的3万多条微软Teams内部消息。Wiz的研究人员表示，开放数据共享是人工智能训练工作的关键组成部分。但如果使用不当，共享大量数据会使公司面临更大风险。Wiz首席技术官兼联合创始人阿米卢特瓦克（AmiLuttwak）说，Wiz在今年6月份与微软分享了这一消息，微软迅速采取行动删除了暴露数据。他补充说，这起事件“本来可能会更糟”。在被问及对此次数据暴露事件的评论时，微软一位发言人表示：“我们已经确认，没有客户数据被泄露，也没有其他内部服务受到影响。”在周一发布的一篇博客文章中，微软表示这起事件涉及一名微软员工将GitHub公共存储库中的URL共享给开源人工智能学习模型，公司已经进行调查，并实施了补救措施。微软表示，存储账户中暴露的数据包括两名前员工电脑配置文件的备份内容，以及这两名员工与同事之间的微软团队Teams内部消息。根据博客称，这次数据暴露是Wiz研究团队在扫描互联网上配置错误存储器时发现的，这是他们针对意外暴露云托管数据所开展工作的组成部分。...PC版：https://www.cnbeta.com.tw/articles/soft/1384855.htm手机版：https://m.cnbeta.com.tw/view/1384855.htm

OpenAI 惨遭背刺，GPT-3.5 Turbo 参数量被微软意外泄露

OpenAI惨遭背刺，GPT-3.5Turbo参数量被微软意外泄露在微软研究院新论文《CODEFUSION:APre-trainedDiffusionModelforCodeGeneration》中，数个模型被标注了参数量，其中GPT-3.5Turbo只有200亿参数，而不是众人熟知的1750亿。如果该数字无误，将刷新人们对性能与参数量关系的认知，并且像ChatGPT这样的AI也有机会运行在家用PC上。https://arxiv.org/abs/2310.17680投稿：@ZaiHuaBot频道：@TestFlightCN

微软员工意外将Azure内部凭据泄露到GitHub上

微软员工意外将Azure内部凭据泄露到GitHub上Vice援引网络安全研究公司SpiderSilk报告称，微软员工在线上代码托管平台泄露了该公司敏感的内部凭据。文章指出，微软方面已证实，该公司员工通过GitHub意外放出了这部分数据。SpiderSilk首席安全官MossabHussein无奈道，想要及时发现并阻止此类源码和凭证泄露事故，正变得越来越困难。资料图（viaSpiderSilk）MossabHussein称，持续发生的意外源码和凭据泄露，属于公司攻击面的一部分。对于当今的大多数公司来说，这都是一个极具挑战性的问题。言归正传，本次凭据泄露与微软官方tenantID有关。Azure是该公司旗下的云计算服务，而tenantID是链接到一组特定Azure用户的唯一标识符。为了解本次泄露的这组凭据正在为哪些系统提供防护，Vice已多次向微软提出询问，但都被该公司婉拒。庆幸的是，微软称此次泄露未导致任何敏感数据被访问，且该公司已采取更安全的措施、以防将来发生同样的意外。PC版：https://www.cnbeta.com/articles/soft/1305715.htm手机版：https://m.cnbeta.com/view/1305715.htm

中国籍研究员涉嫌泄露研究数据 在日本被逮捕

中国籍研究员涉嫌泄露研究数据在日本被逮捕一名中国籍研究员因涉嫌将敏感研究数据发送到中国，被日本警方逮捕。日本共同社消息，日本警方星期四（6月15日）以涉嫌违反《反不正当竞争法》为由，逮捕了茨城县筑波市国立研究开发法人“产业技术综合研究所”（产综研）的一名59岁中国籍高级主任研究员。逮捕理由是该研究员涉嫌在2018年4月13日下午4点半前后，把可以用于绝缘气体的氟化物合成技术相关研究数据，发送到了中国企业的电子邮件地址。办案人员表示，国立研究机构被控向中国泄露情报的案件极其罕见。嫌疑人在产综研从事氟化物相关研究，可能违规把研究获得的数据发送给了中国企业。目前不清楚该研究员是否认罪。警方15日搜查了其住宅等相关地点，没收了资料等。共同社引用一名消息人士说，嫌疑人还在北京理工大学任教，该校被称为中国“国防七校”之一。日本《读卖新闻》称，外泄的研究数据与氟化合物合成的技术相关，可能涉及应对全球变暖的天然气开发技术。产综研方面表示“职员被逮捕，非常遗憾，将全面协助办案，严肃对待”。

安全研究员发现史上最大数据泄露事件，腾讯位于榜首

安全研究员发现史上最大数据泄露事件，腾讯位于榜首SecurityDiscovery.com的网络安全研究员兼所有者BobDyachenko与Cybernews团队一起发现了一起超过260亿条的数据泄露事件。据称，这些记录来自先前的泄露，最大数量的泄露记录多达15亿条，来自腾讯。另外，来自微博（5.04亿）、推特（2.81亿）、网易（2.61亿）、领英（2.51亿）、Adobe（1.53亿）、京东（1.42亿）、优酷（1亿）、Telegram（4100万）等许多其他公司和组织的记录也数以亿计。泄密事件还包括美国、巴西、德国、菲律宾、土耳其和其他国家/地区的各种政府组织的记录。投稿：@TNSubmbot频道：@TestFlightCN