“这肯定不是第一次因配置错误的服务器而暴露敏感信息，也不会是最后一次。但这是近年来 B2B 领域最大规模的数据泄露事件之一。”

微软安全响应中心在当地时间 10 月 20 日发布公告，针对 19 日网络安全供应商 SOCRadar 通报的数据泄露事件的调查报告，微软承认了关键事实——即由于公有云服务器端点配置错误，可能导致未经身份认证的访问行为，继而泄漏微软和客户之间的某些业务交易数据以及客户的客人信息。但微软同时反驳称，SOCRadar 报告中的数字被刻意夸大。

【资料图】

可能涉及 111 个国家 / 地区，6.5 万个实体

SOCRadar 表示，它在搜寻和监控公共云存储桶的过程中，发现了六个由微软管理的大型公共存储桶，其中暴露了覆盖 123 个国家 / 地区超过 15 万家公司的信息。SOCRadar 将这次的数据泄漏统称为 BlueBleed。

根据 SOCRadar 的报告，2022 年 9 月 24 日，该公司的内置云安全模块检测到微软维护的 Azure Blob 存储配置错误（来自最大的公共存储桶之一，被 SOCRadar 称为 BlueBleed 第 1 部分），其中包含来自知名云提供商的敏感数据。

SOCRadar 对配置错误的服务器、SQLServer 数据库和其他文件进行了调查，发现暴露的数据总计 2.4 TB ，文件时间横跨 2017 年到 2022 年 8 月，时间跨度达 5 年之久，涉及 111 个国家 / 地区的 6.5 万多个实体，有超过 33.5 万封电子邮件、13.3 万个项目和 54.8 万名用户暴露。

泄露的文件包括执行证明（PoE） 、工作说明文档、发票、产品订单 / 报价、项目详情、已签署的客户文件、POC 工程、客户电子邮件、客户产品价目表和客户库存、客户内部意见、营销策略、客户资产文档以及合作伙伴生态系统详细信息等。

SOCRadar 警告称，访问过上述存储桶的人可能会利用这些数据和信息进行勒索、钓鱼，或将其放到暗网上拍卖。

“当然，这肯定不是第一次因配置错误的服务器而暴露敏感信息，也不会是最后一次，” SOCRadar 的研究人员、BlueBleed 的主要调查员 Can Yoleri 说道。“然而，由于涉及数万个实体的重要泄露数据，BlueBleed 是近年来 B2B 领域最大规模的数据泄露事件之一。”

微软争论其客户数据泄露的规模有多大

微软承认了数据泄露，并对 SOCRadar 关于这一事件的告知和分析表示感谢，但同时指出，SOCRadar 的博文夸大了这个问题的范围。

微软辩称，目前没有任何迹象表明客户帐户或系统已经被入侵，在接到错误配置的通知后，该端点迅速得到了保护，现在只有通过必要的认证才能访问，并已将情况通知给受影响的客户。此外，通过对数据集的深入调查和分析，发现有很多重复的数据，多次引用相同的电子邮件、项目和用户。

但微软没有透露在此次数据泄漏中可能涉及的公司数量或涉及的数据量等细节。其强调，此次泄漏不涉及任何漏洞，完全是由服务器配置错误引起的。“我们正在努力改进流程，以进一步防止此类错误配置，并执行额外的尽职调查以并确保所有微软端点的安全。”

微软还表示，对 SOCRadar 在此事件中发布的数据泄露搜索工具“感到失望”，因为这不符合确保客户隐私或安全的最佳利益，并可能使客户面临不必要的安全风险。SOCRadar 表示，它提供了一项免费服务，企业可以使用它来搜索公司名称，以确定他们是否受到任何 BlueBleed 泄漏的影响。

对于任何想要提供类似工具的安全公司，微软建议要遵循基本措施来实现数据保护和隐私：

实施合理的验证系统，以确保用户与其声称的身份相符；

遵循数据最小化原则，将交付的结果范围限定为仅与经核实的用户有关的信息。

如果该公司无法以合理的保真度确定哪些客户的数据受到影响，则不向特定用户提供可能属于其他客户的信息（包括元数据 / 文件名）。

云存储数据外泄成网络攻击主要路径

SOCRadar 研究人员表示，服务器配置错误已是数据泄露的主要原因之一。而根据网络安全研究机构 SANS 最新发布的网络攻击和威胁报告，云存储数据外泄已成为 2022 年最常见的攻击路径之一。

研究人员写道：“威胁参与者是会不断扫描公共存储桶中的敏感数据。” “他们拥有使用高级工具自动扫描的资源和手段。而企业应使用自动安全工具主动监控此类网络风险。”

网络安全公司 KnowBe4 的安全意识倡导者 Erich Kron 在接受媒体采访时表示，一些暴露的数据可能看起来微不足道，但如果 SOCRadar 的信息是正确的，“它可能包括一些关于潜在客户的基础设施和网络配置的敏感信息。这些信息对可能对在这些组织的网络中寻找漏洞的潜在攻击者很有价值。”

Kron 还表示，像 BlueBleed 这样的事件表明，与本地系统的类似问题相比，云存储的这种错误配置很可能会暴露更多组织和个人的信息。

参考链接：

https://socradar.io/sensitive-data-of-65000-entities-in-111-countries-leaked-due-to-a-single-misconfigured-data-bucket/

https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/

关键词： 研究人员 电子邮件 网络安全