微软承认因公有云服务器端点配置错误导致全球客户数据泄露,此次事件可能是近年来 B2B 领域最大规模的数据泄露事故之一,但微软反驳称 SOCRadar 报告中的数字被刻意夸大。
微软安全响应中心于当地时间 10 月 20 日发布公告,针对 19 日网络安全供应商 SOCRadar 通报的数据泄露事件给出调查报告。微软承认由于公有云服务器端点配置错误,可能导致未经身份认证的访问行为,进而泄漏微软和客户之间的某些业务交易数据以及客户的客人信息。

SOCRadar 在搜寻和监控公共云存储桶时,发现六个由微软管理的大型公共存储桶暴露了大量信息。其将这次数据泄漏统称为 BlueBleed。
2022 年 9 月 24 日,SOCRadar 的内置云安全模块检测到微软维护的 Azure Blob 存储配置错误(来自最大的公共存储桶之一,即 BlueBleed 第 1 部分),其中包含来自知名云提供商的敏感数据。
经调查,暴露的数据总计 2.4 TB,文件时间跨度从 2017 年到 2022 年 8 月,达 5 年之久。涉及 111 个国家/地区的 6.5 万多个实体,有超过 33.5 万封电子邮件、13.3 万个项目和 54.8 万名用户暴露。
泄露的文件种类繁多,包括执行证明(PoE)、工作说明文档、发票、产品订单/报价、项目详情、已签署的客户文件、POC 工程、客户电子邮件、客户产品价目表和客户库存、客户内部意见、营销策略、客户资产文档以及合作伙伴生态系统详细信息等。
SOCRadar 警告称,访问过上述存储桶的人可能会利用这些数据和信息进行勒索、钓鱼,或将其放到暗网上拍卖。SOCRadar 的研究人员、BlueBleed 的主要调查员 Can Yoleri 表示,由于涉及数万个实体的重要泄露数据,BlueBleed 是近年来 B2B 领域最大规模的数据泄露事件之一。
微软承认了数据泄露,并对 SOCRadar 关于这一事件的告知和分析表示感谢,但同时指出 SOCRadar 的博文夸大了这个问题的范围。
微软辩称目前没有任何迹象表明客户帐户或系统已经被入侵,在接到错误配置的通知后,该端点迅速得到了保护,现在只有通过必要的认证才能访问,并已将情况通知给受影响的客户。
微软通过对数据集的深入调查和分析,发现有很多重复的数据,多次引用相同的电子邮件、项目和用户,不过没有透露在此次数据泄漏中可能涉及的公司数量或涉及的数据量等细节。
微软强调此次泄漏不涉及任何漏洞,完全是由服务器配置错误引起的,还表示正在努力改进流程,以进一步防止此类错误配置,并执行额外的尽职调查以确保所有微软端点的安全。
微软对 SOCRadar 在此事件中发布的数据泄露搜索工具“感到失望”,认为这不符合确保客户隐私或安全的最佳利益,并可能使客户面临不必要的安全风险。SOCRadar 则表示提供了一项免费服务,企业可使用它来搜索公司名称,以确定是否受到任何 BlueBleed 泄漏的影响。
对于任何想要提供类似工具的安全公司,微软给出了建议:
实施合理的验证系统,以确保用户与其声称的身份相符。
遵循数据最小化原则,将交付的结果范围限定为仅与经核实的用户有关的信息。
如果该公司无法以合理的保真度确定哪些客户的数据受到影响,则不向特定用户提供可能属于其他客户的信息(包括元数据/文件名)。

