“這肯定不是第一次因配置錯誤的服務(wù)器而暴露敏感信息，也不會是最后一次。但這是近年來 B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一?！?/p>

微軟安全響應(yīng)中心在當(dāng)?shù)貢r間 10 月 20 日發(fā)布公告，針對 19 日網(wǎng)絡(luò)安全供應(yīng)商 SOCRadar 通報的數(shù)據(jù)泄露事件的調(diào)查報告，微軟承認了關(guān)鍵事實——即由于公有云服務(wù)器端點配置錯誤，可能導(dǎo)致未經(jīng)身份認證的訪問行為，繼而泄漏微軟和客戶之間的某些業(yè)務(wù)交易數(shù)據(jù)以及客戶的客人信息。但微軟同時反駁稱，SOCRadar 報告中的數(shù)字被刻意夸大。

【資料圖】

可能涉及 111 個國家 / 地區(qū)，6.5 萬個實體

SOCRadar 表示，它在搜尋和監(jiān)控公共云存儲桶的過程中，發(fā)現(xiàn)了六個由微軟管理的大型公共存儲桶，其中暴露了覆蓋 123 個國家 / 地區(qū)超過 15 萬家公司的信息。SOCRadar 將這次的數(shù)據(jù)泄漏統(tǒng)稱為 BlueBleed。

根據(jù) SOCRadar 的報告，2022 年 9 月 24 日，該公司的內(nèi)置云安全模塊檢測到微軟維護的 Azure Blob 存儲配置錯誤（來自最大的公共存儲桶之一，被 SOCRadar 稱為 BlueBleed 第 1 部分），其中包含來自知名云提供商的敏感數(shù)據(jù)。

SOCRadar 對配置錯誤的服務(wù)器、SQLServer 數(shù)據(jù)庫和其他文件進行了調(diào)查，發(fā)現(xiàn)暴露的數(shù)據(jù)總計 2.4 TB ，文件時間橫跨 2017 年到 2022 年 8 月，時間跨度達 5 年之久，涉及 111 個國家 / 地區(qū)的 6.5 萬多個實體，有超過 33.5 萬封電子郵件、13.3 萬個項目和 54.8 萬名用戶暴露。

泄露的文件包括執(zhí)行證明（PoE） 、工作說明文檔、發(fā)票、產(chǎn)品訂單 / 報價、項目詳情、已簽署的客戶文件、POC 工程、客戶電子郵件、客戶產(chǎn)品價目表和客戶庫存、客戶內(nèi)部意見、營銷策略、客戶資產(chǎn)文檔以及合作伙伴生態(tài)系統(tǒng)詳細信息等。

SOCRadar 警告稱，訪問過上述存儲桶的人可能會利用這些數(shù)據(jù)和信息進行勒索、釣魚，或?qū)⑵浞诺桨稻W(wǎng)上拍賣。

“當(dāng)然，這肯定不是第一次因配置錯誤的服務(wù)器而暴露敏感信息，也不會是最后一次，” SOCRadar 的研究人員、BlueBleed 的主要調(diào)查員 Can Yoleri 說道?！叭欢?，由于涉及數(shù)萬個實體的重要泄露數(shù)據(jù)，BlueBleed 是近年來 B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一。”

微軟爭論其客戶數(shù)據(jù)泄露的規(guī)模有多大

微軟承認了數(shù)據(jù)泄露，并對 SOCRadar 關(guān)于這一事件的告知和分析表示感謝，但同時指出，SOCRadar 的博文夸大了這個問題的范圍。

微軟辯稱，目前沒有任何跡象表明客戶帳戶或系統(tǒng)已經(jīng)被入侵，在接到錯誤配置的通知后，該端點迅速得到了保護，現(xiàn)在只有通過必要的認證才能訪問，并已將情況通知給受影響的客戶。此外，通過對數(shù)據(jù)集的深入調(diào)查和分析，發(fā)現(xiàn)有很多重復(fù)的數(shù)據(jù)，多次引用相同的電子郵件、項目和用戶。

但微軟沒有透露在此次數(shù)據(jù)泄漏中可能涉及的公司數(shù)量或涉及的數(shù)據(jù)量等細節(jié)。其強調(diào)，此次泄漏不涉及任何漏洞，完全是由服務(wù)器配置錯誤引起的?！拔覀冋谂Ω倪M流程，以進一步防止此類錯誤配置，并執(zhí)行額外的盡職調(diào)查以并確保所有微軟端點的安全?！?/p>

微軟還表示，對 SOCRadar 在此事件中發(fā)布的數(shù)據(jù)泄露搜索工具“感到失望”，因為這不符合確?？蛻綦[私或安全的最佳利益，并可能使客戶面臨不必要的安全風(fēng)險。SOCRadar 表示，它提供了一項免費服務(wù)，企業(yè)可以使用它來搜索公司名稱，以確定他們是否受到任何 BlueBleed 泄漏的影響。

對于任何想要提供類似工具的安全公司，微軟建議要遵循基本措施來實現(xiàn)數(shù)據(jù)保護和隱私：

實施合理的驗證系統(tǒng)，以確保用戶與其聲稱的身份相符；

遵循數(shù)據(jù)最小化原則，將交付的結(jié)果范圍限定為僅與經(jīng)核實的用戶有關(guān)的信息。

如果該公司無法以合理的保真度確定哪些客戶的數(shù)據(jù)受到影響，則不向特定用戶提供可能屬于其他客戶的信息（包括元數(shù)據(jù) / 文件名）。

云存儲數(shù)據(jù)外泄成網(wǎng)絡(luò)攻擊主要路徑

SOCRadar 研究人員表示，服務(wù)器配置錯誤已是數(shù)據(jù)泄露的主要原因之一。而根據(jù)網(wǎng)絡(luò)安全研究機構(gòu) SANS 最新發(fā)布的網(wǎng)絡(luò)攻擊和威脅報告，云存儲數(shù)據(jù)外泄已成為 2022 年最常見的攻擊路徑之一。

研究人員寫道：“威脅參與者是會不斷掃描公共存儲桶中的敏感數(shù)據(jù)?！?“他們擁有使用高級工具自動掃描的資源和手段。而企業(yè)應(yīng)使用自動安全工具主動監(jiān)控此類網(wǎng)絡(luò)風(fēng)險?！?/p>

網(wǎng)絡(luò)安全公司 KnowBe4 的安全意識倡導(dǎo)者 Erich Kron 在接受媒體采訪時表示，一些暴露的數(shù)據(jù)可能看起來微不足道，但如果 SOCRadar 的信息是正確的，“它可能包括一些關(guān)于潛在客戶的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)配置的敏感信息。這些信息對可能對在這些組織的網(wǎng)絡(luò)中尋找漏洞的潛在攻擊者很有價值?！?/p>

Kron 還表示，像 BlueBleed 這樣的事件表明，與本地系統(tǒng)的類似問題相比，云存儲的這種錯誤配置很可能會暴露更多組織和個人的信息。

參考鏈接：

https://socradar.io/sensitive-data-of-65000-entities-in-111-countries-leaked-due-to-a-single-misconfigured-data-bucket/

https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/

關(guān)鍵詞： 研究人員 電子郵件 網(wǎng)絡(luò)安全