微软AI研究员在 GitHub 意外泄露 38TB 私密数据

微软AI研究员在GitHub意外泄露38TB私密数据云安全公司Wiz发布报告，发现属于微软AI研究部门的一个储存库出现了意外数据泄露，其目的是提供图像识别模型代码和AI模型下载。扫描显示该帐户包含了38TB的额外数据，其中包括Microsoft员工的个人电脑备份。这些备份包含敏感的个人数据，包括Microsoft服务的密码、密钥以及来自359名Microsoft员工的30000多条聊天记录。这种情况是Azure共享访问签名(SAS)令牌配置的权限过高导致。该签名URL被配置为了"完全控制"权限而不是只读权限，这意味着攻击者可以查看存储帐户中的所有文件，还可以删除和覆盖现有文件。甚至可能已将恶意代码注入到该存储帐户中的所有AI模型中，感染每个信任MicrosoftGitHub存储库的用户。投稿：@ZaiHuaBot频道：@TestFlightCN

微软AI研究人员意外暴露大量内部数据 因云存储链接配置错误

微软AI研究人员意外暴露大量内部数据因云存储链接配置错误云安全公司Wiz的一个团队发现，这些托管在云平台上的数据是通过一个配置错误的链接暴露的。据Wiz称，微软人工智能研究团队在GitHub上发布开源训练内容时无意间泄露了这些数据。据悉，相关存储库的用户得到通知，可以从云存储的相关URL链接下载人工智能模型。但根据Wiz的一篇博客文章，这一链接被错误配置，有整个存储帐户的权限，并且还授予用户对整个存储库的完全控制权限，而不仅仅是只读权限，这意味着用户可以随意删除和覆盖现有文件。据Wiz称，存储库中泄露的数据包括微软员工的个人电脑备份信息，其中包含微软服务密码、密钥和来自359名微软员工的3万多条微软Teams内部消息。Wiz的研究人员表示，开放数据共享是人工智能训练工作的关键组成部分。但如果使用不当，共享大量数据会使公司面临更大风险。Wiz首席技术官兼联合创始人阿米卢特瓦克（AmiLuttwak）说，Wiz在今年6月份与微软分享了这一消息，微软迅速采取行动删除了暴露数据。他补充说，这起事件“本来可能会更糟”。在被问及对此次数据暴露事件的评论时，微软一位发言人表示：“我们已经确认，没有客户数据被泄露，也没有其他内部服务受到影响。”在周一发布的一篇博客文章中，微软表示这起事件涉及一名微软员工将GitHub公共存储库中的URL共享给开源人工智能学习模型，公司已经进行调查，并实施了补救措施。微软表示，存储账户中暴露的数据包括两名前员工电脑配置文件的备份内容，以及这两名员工与同事之间的微软团队Teams内部消息。根据博客称，这次数据暴露是Wiz研究团队在扫描互联网上配置错误存储器时发现的，这是他们针对意外暴露云托管数据所开展工作的组成部分。...PC版：https://www.cnbeta.com.tw/articles/soft/1384855.htm手机版：https://m.cnbeta.com.tw/view/1384855.htm

微软解释Azure漏洞原因：工程师账户被黑

微软解释Azure漏洞原因：工程师账户被黑微软表示，一名工程师的公司帐户遭到一名技术精湛的威胁参与者黑客攻击，该威胁参与者获得了签名密钥，用于攻击属于知名用户的数十个Azure和Exchange帐户。这一披露揭开了微软7月份披露的两个核心漏洞。微软表示被追踪为Storm-0558的黑客已在其公司网络内潜入一个多月，并获得了Azure和Exchange帐户的访问权限，其中几个帐户被确定属于美国国务院和商务部。Storm-0558通过获取过期的Microsoft帐户消费者签名密钥并使用它为Microsoft据称强化的AzureAD云服务伪造令牌来实现这一行为。来源：投稿：@ZaiHuaBot频道：@TestFlightCN

微软宣布在MIT许可证下开源PowerShell，源代码托管在GitHub上，GitHub页面还提供了各个平台的二进制文件下载。

微软宣布在MIT许可证下开源PowerShell，源代码托管在GitHub上，GitHub页面还提供了各个平台的二进制文件下载。微软同时加入了对Linux（暂限Ubuntu、Centos和Redhat发行版）和Mac的初步支持。PowerShell原是Windows下的命令行shell和脚本语言系统，用于任务自动化和配置管理，类似Unixshell。微软称，今天的客户生活在多平台，多云端和多操作系统的世界里，这个世界带来了新的挑战，客户需要工具让一切工作都井井有条，将PowerShell带到其它平台将允许用户在任何地方任何设备上管理任何平台。https://azure.microsoft.com/en-us/blog/powershell-is-open-sourced-and-is-available-on-linux/

GitHub：攻击者利用盗取的OAuth令牌入侵了数十个组织

GitHub：攻击者利用盗取的OAuth令牌入侵了数十个组织GitHub今天透露，一名攻击者正在使用偷来的OAuth用户令牌（发放给Heroku和Travis-CI），从私人仓库下载数据。自2022年4月12日首次发现这一活动以来，威胁者已经从几十个使用Heroku和Travis-CI维护的OAuth应用程序（包括npm）的受害组织中访问并窃取数据。"这些集成商维护的应用程序被GitHub用户使用，包括GitHub本身"GitHub的首席安全官（CSO）MikeHanley今天透露。"我们不相信攻击者是通过破坏GitHub或其系统来获得这些令牌的，因为GitHub没有以原始的可用格式存储这些令牌。""我们对威胁行为者的其他行为的分析表明，行为者可能正在挖掘被盗的OAuth令牌所能访问的下载的私有仓库内容，以寻找可用于透支其他基础设施的秘密。"GitHub安全部在4月12日发现了对GitHub的npm生产基础设施的未经授权的访问，因为攻击者使用了一个被泄露的AWSAPI密钥。攻击者很可能是在使用偷来的OAuth令牌下载了多个私有npm仓库后获得了该API密钥。——bleepingcomputer