标签： 暴露

微软人工智能研究人员在 GitHub 上发布开源训练数据时，意外暴露了数十 TB 的敏感数据，包括私钥和密码

在与 TechCrunch 分享的研究中，云安全初创公司 Wiz表示，作为其对云端数据意外暴露问题的持续研究的一部分，他们发现了一个属于微软人工智能研究部门的 GitHub 存储库。

该 GitHub 存储库提供了用于图像识别的开源代码和 AI 模型，访问者被指示从 Azure 存储 URL 下载模型。然而，Wiz 发现该 URL 被配置为授予整个存储帐户的权限，从而错误地暴露了其他私人数据。

这些数据包括 38 TB 的敏感信息，其中包括两名 Microsoft 员工个人计算机的个人备份。这些数据还包含其他敏感个人数据，包括 Microsoft 服务的密码、密钥以及来自数百名 Microsoft 员工的 30,000 多条内部 Microsoft Teams 消息。

据 Wiz 称，该 URL 自 2020 年起就暴露了这些数据，该 URL 也被错误配置为允许“完全控制”而不是“只读”权限，这意味着任何知道在哪里查看的人都可能删除、替换和注入恶意内容内容进入其中。

Wiz 指出，存储帐户并未直接公开。相反，Microsoft AI 开发人员在 URL 中包含了过于宽松的共享访问签名 (SAS) 令牌。SAS 令牌是 Azure 使用的一种机制，允许用户创建可共享链接，授予对 Azure 存储帐户数据的访问权限。

Wiz 表示，它于 6 月 22 日与微软分享了调查结果，两天后，即 6 月 24 日，微软撤销了 SAS 令牌。微软表示，它于 8 月 16 日完成了对潜在组织影响的调查。

—— TechCrunch

马化腾内部讲话：腾讯内部贪腐问题触目惊心

近日，腾讯在线上召开内部员工大会，同时有大约100多名员工现场参与听会，今年大会的主题是降本增效。

与往年内部大会讲话以鼓励为主的温和风格不同，今年马化腾讲话的整体基调锐利了不少，把很多管理干部知道但不愿意摆到台面上讨论的问题，都逐一指了出来。

腾讯今年提升了内审内控的力度，结果查出大量内部贪腐问题，还牵扯到了部分中干。“我看完（调查结果）之后才知道，为什么我们很多业务做不起来，那当然做不起来了，这么多漏洞在被掏，（业务）不可能起得来”。

“为啥年年说反贪腐，今年还这么严重呢？”马化腾表示，今年腾讯强调降本增效，所以查的比较多，“其实很多问题以前都存在，只是没查那么严”。

今年严查之后暴露的问题特别多，而且又有中干牵扯其中，“我跟你们讲，只是你们没机会看，看完之后吓死人”。

马化腾对台下员工说，内部的贪腐问题“真的是触目惊心”，很多业务做不起来，并不是因为管理者问题，也不是业务方向问题，而是贪腐漏洞太大，业务被掏空了。

马化腾表示，今年腾讯将数字化能力也引入到了反舞弊中，腾讯所有的报销和外部供应商的数据全部汇集起来，内审内控进行大数据分析，能找到大部分低水平的问题，明年腾讯会继续建设这个能力。

—— 界面新闻

微软警告数千名云服务客户：数据库或被暴露

据报道，微软的一封电子邮件和一位网络安全研究员表示，该公司在周四警告了数千名云计算客户，包括一些世界上规模最大的企业，入侵者可能有能力阅读、改变甚至删除其主要数据库。

这一漏洞出现在微软Azure的旗舰产品Cosmos数据库中。安全公司Wiz的一个研究小组发现，它能够访问控制数千家公司持有的数据库访问权的密钥。Wiz公司首席技术官阿米·卢特瓦克（Ami Luttwak）是微软云安全集团的前首席技术官。

由于微软不能自行更改这些密钥，周四该公司给其客户发送了电子邮件，告知他们要创建新的密钥。微软发给Wiz的电子邮件显示，微软同意向Wiz支付4万美元，用于奖励其发现并报告了这一漏洞。

微软发言人拒绝立即就此事置评。

—— 路透社