最嚴重的云存儲數據外泄事故之一：微軟錯誤配置導致客戶數據泄露

最嚴重的云存儲數據外泄事故之一：微軟錯誤配置導致客戶數據泄露

整理｜燕珊

“這肯定不是第一次因配置錯誤的服務器而暴露敏感信息，也不會是最后一次。但這是近年來 B2B 領域最大規模的數據泄露事件之一。”

微軟安全響應中心在當地時間 10 月 20 日發布公告，針對 19 日網絡安全供應商 SOCRadar 通報的數據泄露事件的調查報告，微軟承認了關鍵事實——即由于公有云服務器端點配置錯誤，可能導致未經身份認證的訪問行為，繼而泄漏微軟和客戶之間的某些業務交易數據以及客戶的客人信息。但微軟同時反駁稱，SOCRadar 報告中的數字被刻意夸大。

可能涉及 111 個國家 / 地區，6.5 萬個實體

SOCRadar 表示，它在搜尋和監控公共云存儲桶的過程中，發現了六個由微軟管理的大型公共存儲桶，其中暴露了覆蓋 123 個國家 / 地區超過 15 萬家公司的信息。SOCRadar 將這次的數據泄漏統稱為 BlueBleed。

根據 SOCRadar 的報告，2022 年 9 月 24 日，該公司的內置云安全模塊檢測到微軟維護的 Azure Blob 存儲配置錯誤（來自最大的公共存儲桶之一，被 SOCRadar 稱為 BlueBleed 第 1 部分），其中包含來自知名云提供商的敏感數據。

SOCRadar 對配置錯誤的服務器、SQLServer 數據庫和其他文件進行了調查，發現暴露的數據總計 2.4 TB ，文件時間橫跨 2017 年到 2022 年 8 月，時間跨度達 5 年之久，涉及 111 個國家 / 地區的 6.5 萬多個實體，有超過 33.5 萬封電子郵件、13.3 萬個項目和 54.8 萬名用戶暴露。

泄露的文件包括執行證明（PoE） 、工作說明文檔、發票、產品訂單 / 報價、項目詳情、已簽署的客戶文件、POC 工程、客戶電子郵件、客戶產品價目表和客戶庫存、客戶內部意見、營銷策略、客戶資產文檔以及合作伙伴生態系統詳細信息等。

SOCRadar 警告稱，訪問過上述存儲桶的人可能會利用這些數據和信息進行勒索、釣魚，或將其放到暗網上拍賣。

“當然，這肯定不是第一次因配置錯誤的服務器而暴露敏感信息，也不會是最后一次，” SOCRadar 的研究人員、BlueBleed 的主要調查員 Can Yoleri 說道。“然而，由于涉及數萬個實體的重要泄露數據，BlueBleed 是近年來 B2B 領域最大規模的數據泄露事件之一。”

微軟爭論其客戶數據泄露的規模有多大

微軟承認了數據泄露，并對 SOCRadar 關于這一事件的告知和分析表示感謝，但同時指出，SOCRadar 的博文夸大了這個問題的范圍。

微軟辯稱，目前沒有任何跡象表明客戶帳戶或系統已經被入侵，在接到錯誤配置的通知后，該端點迅速得到了保護，現在只有通過必要的認證才能訪問，并已將情況通知給受影響的客戶。此外，通過對數據集的深入調查和分析，發現有很多重復的數據，多次引用相同的電子郵件、項目和用戶。

但微軟沒有透露在此次數據泄漏中可能涉及的公司數量或涉及的數據量等細節。其強調，此次泄漏不涉及任何漏洞，完全是由服務器配置錯誤引起的。“我們正在努力改進流程，以進一步防止此類錯誤配置，并執行額外的盡職調查以并確保所有微軟端點的安全。 ”

微軟還表示，對 SOCRadar 在此事件中發布的數據泄露搜索工具“感到失望”，因為這不符合確保客戶隱私或安全的最佳利益，并可能使客戶面臨不必要的安全風險。SOCRadar 表示，它提供了一項免費服務，企業可以使用它來搜索公司名稱，以確定他們是否受到任何 BlueBleed 泄漏的影響。

對于任何想要提供類似工具的安全公司，微軟建議要遵循基本措施來實現數據保護和隱私：

1. 實施合理的驗證系統，以確保用戶與其聲稱的身份相符；
2. 遵循數據最小化原則，將交付的結果范圍限定為僅與經核實的用戶有關的信息。
3. 如果該公司無法以合理的保真度確定哪些客戶的數據受到影響，則不向特定用戶提供可能屬于其他客戶的信息（包括元數據 / 文件名）。

云存儲數據外泄成網絡攻擊主要路徑

SOCRadar 研究人員表示，服務器配置錯誤已是數據泄露的主要原因之一。而根據網絡安全研究機構 SANS 最新發布的網絡攻擊和威脅報告，云存儲數據外泄已成為 2022 年最常見的攻擊路徑之一。

研究人員寫道：“威脅參與者是會不斷掃描公共存儲桶中的敏感數據。” “他們擁有使用高級工具自動掃描的資源和手段。而企業應使用自動安全工具主動監控此類網絡風險。”

網絡安全公司 KnowBe4 的安全意識倡導者 Erich Kron 在接受媒體采訪時表示，一些暴露的數據可能看起來微不足道，但如果 SOCRadar 的信息是正確的，“它可能包括一些關于潛在客戶的基礎設施和網絡配置的敏感信息。這些信息對可能對在這些組織的網絡中尋找漏洞的潛在攻擊者很有價值。”

Kron 還表示，像 BlueBleed 這樣的事件表明，與本地系統的類似問題相比，云存儲的這種錯誤配置很可能會暴露更多組織和個人的信息。

參考鏈接：

https://socradar.io/sensitivedataof65000entitiesin111countriesleakedduetoasinglemisconfigureddatabucket/

https://msrcblog.microsoft.com/2022/10/19/investigationregardingmisconfiguredmicrosoftstoragelocation2/

https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/

聲明：本文為InfoQ翻譯，未經許可禁止轉載。