最嚴重的雲存儲資料外洩事故之一：微軟錯誤配置導緻客戶資料洩露

整理｜燕珊

“這肯定不是第一次因配置錯誤的伺服器而暴露敏感資訊，也不會是最後一次。但這是近年來 B2B 領域最大規模的資料洩露事件之一。”

微軟安全響應中心在當地時間 10 月 20 日釋出公告，針對 19 日網絡安全供應商 SOCRadar 通報的資料洩露事件的調查報告，微軟承認了關鍵事實——即由于公有雲伺服器端點配置錯誤，可能導緻未經身份認證的通路行為，繼而洩漏微軟和客戶之間的某些業務交易資料以及客戶的客人資訊。但微軟同時反駁稱，SOCRadar 報告中的數字被刻意誇大。

可能涉及 111 個國家 / 地區，6.5 萬個實體

SOCRadar 表示，它在搜尋和監控公共雲存儲桶的過程中，發現了六個由微軟管理的大型公共存儲桶，其中暴露了覆寫 123 個國家 / 地區超過 15 萬家公司的資訊。SOCRadar 将這次的資料洩漏統稱為 BlueBleed。

根據 SOCRadar 的報告，2022 年 9 月 24 日，該公司的内置雲安全子產品檢測到微軟維護的 Azure Blob 存儲配置錯誤（來自最大的公共存儲桶之一，被 SOCRadar 稱為 BlueBleed 第 1 部分），其中包含來自知名雲提供商的敏感資料。

SOCRadar 對配置錯誤的伺服器、SQLServer 資料庫和其他檔案進行了調查，發現暴露的資料總計 2.4 TB ，檔案時間橫跨 2017 年到 2022 年 8 月，時間跨度達 5 年之久，涉及 111 個國家 / 地區的 6.5 萬多個實體，有超過 33.5 萬封電子郵件、13.3 萬個項目和 54.8 萬名使用者暴露。

洩露的檔案包括執行證明（PoE） 、工作說明文檔、發票、産品訂單 / 報價、項目詳情、已簽署的客戶檔案、POC 工程、客戶電子郵件、客戶産品價目表和客戶庫存、客戶内部意見、營銷政策、客戶資産文檔以及合作夥伴生态系統詳細資訊等。

SOCRadar 警告稱，通路過上述存儲桶的人可能會利用這些資料和資訊進行勒索、釣魚，或将其放到暗網上拍賣。

“當然，這肯定不是第一次因配置錯誤的伺服器而暴露敏感資訊，也不會是最後一次，” SOCRadar 的研究人員、BlueBleed 的主要調查員 Can Yoleri 說道。“然而，由于涉及數萬個實體的重要洩露資料，BlueBleed 是近年來 B2B 領域最大規模的資料洩露事件之一。”

微軟争論其客戶資料洩露的規模有多大

微軟承認了資料洩露，并對 SOCRadar 關于這一事件的告知和分析表示感謝，但同時指出，SOCRadar 的博文誇大了這個問題的範圍。

微軟辯稱，目前沒有任何迹象表明客戶帳戶或系統已經被入侵，在接到錯誤配置的通知後，該端點迅速得到了保護，現在隻有通過必要的認證才能通路，并已将情況通知給受影響的客戶。此外，通過對資料集的深入調查和分析，發現有很多重複的資料，多次引用相同的電子郵件、項目和使用者。

但微軟沒有透露在此次資料洩漏中可能涉及的公司數量或涉及的資料量等細節。其強調，此次洩漏不涉及任何漏洞，完全是由伺服器配置錯誤引起的。“我們正在努力改進流程，以進一步防止此類錯誤配置，并執行額外的盡職調查以并確定所有微軟端點的安全。 ”

微軟還表示，對 SOCRadar 在此事件中釋出的資料洩露搜尋工具“感到失望”，因為這不符合確定客戶隐私或安全的最佳利益，并可能使客戶面臨不必要的安全風險。SOCRadar 表示，它提供了一項免費服務，企業可以使用它來搜尋公司名稱，以确定他們是否受到任何 BlueBleed 洩漏的影響。

對于任何想要提供類似工具的安全公司，微軟建議要遵循基本措施來實作資料保護和隐私：

1. 實施合理的驗證系統，以確定使用者與其聲稱的身份相符；
2. 遵循資料最小化原則，将傳遞的結果範圍限定為僅與經核實的使用者有關的資訊。
3. 如果該公司無法以合理的保真度确定哪些客戶的資料受到影響，則不向特定使用者提供可能屬于其他客戶的資訊（包括中繼資料 / 檔案名）。

雲存儲資料外洩成網絡攻擊主要路徑

SOCRadar 研究人員表示，伺服器配置錯誤已是資料洩露的主要原因之一。而根據網絡安全研究機構 SANS 最新釋出的網絡攻擊和威脅報告，雲存儲資料外洩已成為 2022 年最常見的攻擊路徑之一。

研究人員寫道：“威脅參與者是會不斷掃描公共存儲桶中的敏感資料。” “他們擁有使用進階工具自動掃描的資源和手段。而企業應使用自動安全工具主動監控此類網絡風險。”

網絡安全公司 KnowBe4 的安全意識倡導者 Erich Kron 在接受媒體采訪時表示，一些暴露的資料可能看起來微不足道，但如果 SOCRadar 的資訊是正确的，“它可能包括一些關于潛在客戶的基礎設施和網絡配置的敏感資訊。這些資訊對可能對在這些組織的網絡中尋找漏洞的潛在攻擊者很有價值。”

Kron 還表示，像 BlueBleed 這樣的事件表明，與本地系統的類似問題相比，雲存儲的這種錯誤配置很可能會暴露更多組織和個人的資訊。

參考連結：

https://socradar.io/sensitive-data-of-65000-entities-in-111-countries-leaked-due-to-a-single-misconfigured-data-bucket/

https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/

聲明：本文為InfoQ翻譯，未經許可禁止轉載。