“這肯定不是第一次因配置錯(cuò)誤的服務(wù)器而暴露敏感信息，也不會(huì)是最后一次。但這是近年來(lái) B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一。”

微軟安全響應(yīng)中心在當(dāng)?shù)貢r(shí)間 10 月 20 日發(fā)布公告，針對(duì) 19 日網(wǎng)絡(luò)安全供應(yīng)商 SOCRadar 通報(bào)的數(shù)據(jù)泄露事件的調(diào)查報(bào)告，微軟承認(rèn)了關(guān)鍵事實(shí)——即由于公有云服務(wù)器端點(diǎn)配置錯(cuò)誤，可能導(dǎo)致未經(jīng)身份認(rèn)證的訪問(wèn)行為，繼而泄漏微軟和客戶之間的某些業(yè)務(wù)交易數(shù)據(jù)以及客戶的客人信息。但微軟同時(shí)反駁稱，SOCRadar 報(bào)告中的數(shù)字被刻意夸大。

【資料圖】

可能涉及 111 個(gè)國(guó)家 / 地區(qū)，6.5 萬(wàn)個(gè)實(shí)體

SOCRadar 表示，它在搜尋和監(jiān)控公共云存儲(chǔ)桶的過(guò)程中，發(fā)現(xiàn)了六個(gè)由微軟管理的大型公共存儲(chǔ)桶，其中暴露了覆蓋 123 個(gè)國(guó)家 / 地區(qū)超過(guò) 15 萬(wàn)家公司的信息。SOCRadar 將這次的數(shù)據(jù)泄漏統(tǒng)稱為 BlueBleed。

根據(jù) SOCRadar 的報(bào)告，2022 年 9 月 24 日，該公司的內(nèi)置云安全模塊檢測(cè)到微軟維護(hù)的 Azure Blob 存儲(chǔ)配置錯(cuò)誤（來(lái)自最大的公共存儲(chǔ)桶之一，被 SOCRadar 稱為 BlueBleed 第 1 部分），其中包含來(lái)自知名云提供商的敏感數(shù)據(jù)。

SOCRadar 對(duì)配置錯(cuò)誤的服務(wù)器、SQLServer 數(shù)據(jù)庫(kù)和其他文件進(jìn)行了調(diào)查，發(fā)現(xiàn)暴露的數(shù)據(jù)總計(jì) 2.4 TB ，文件時(shí)間橫跨 2017 年到 2022 年 8 月，時(shí)間跨度達(dá) 5 年之久，涉及 111 個(gè)國(guó)家 / 地區(qū)的 6.5 萬(wàn)多個(gè)實(shí)體，有超過(guò) 33.5 萬(wàn)封電子郵件、13.3 萬(wàn)個(gè)項(xiàng)目和 54.8 萬(wàn)名用戶暴露。

泄露的文件包括執(zhí)行證明（PoE） 、工作說(shuō)明文檔、發(fā)票、產(chǎn)品訂單 / 報(bào)價(jià)、項(xiàng)目詳情、已簽署的客戶文件、POC 工程、客戶電子郵件、客戶產(chǎn)品價(jià)目表和客戶庫(kù)存、客戶內(nèi)部意見、營(yíng)銷策略、客戶資產(chǎn)文檔以及合作伙伴生態(tài)系統(tǒng)詳細(xì)信息等。

SOCRadar 警告稱，訪問(wèn)過(guò)上述存儲(chǔ)桶的人可能會(huì)利用這些數(shù)據(jù)和信息進(jìn)行勒索、釣魚，或?qū)⑵浞诺桨稻W(wǎng)上拍賣。

“當(dāng)然，這肯定不是第一次因配置錯(cuò)誤的服務(wù)器而暴露敏感信息，也不會(huì)是最后一次，” SOCRadar 的研究人員、BlueBleed 的主要調(diào)查員 Can Yoleri 說(shuō)道。“然而，由于涉及數(shù)萬(wàn)個(gè)實(shí)體的重要泄露數(shù)據(jù)，BlueBleed 是近年來(lái) B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一。”

微軟爭(zhēng)論其客戶數(shù)據(jù)泄露的規(guī)模有多大

微軟承認(rèn)了數(shù)據(jù)泄露，并對(duì) SOCRadar 關(guān)于這一事件的告知和分析表示感謝，但同時(shí)指出，SOCRadar 的博文夸大了這個(gè)問(wèn)題的范圍。

微軟辯稱，目前沒有任何跡象表明客戶帳戶或系統(tǒng)已經(jīng)被入侵，在接到錯(cuò)誤配置的通知后，該端點(diǎn)迅速得到了保護(hù)，現(xiàn)在只有通過(guò)必要的認(rèn)證才能訪問(wèn)，并已將情況通知給受影響的客戶。此外，通過(guò)對(duì)數(shù)據(jù)集的深入調(diào)查和分析，發(fā)現(xiàn)有很多重復(fù)的數(shù)據(jù)，多次引用相同的電子郵件、項(xiàng)目和用戶。

但微軟沒有透露在此次數(shù)據(jù)泄漏中可能涉及的公司數(shù)量或涉及的數(shù)據(jù)量等細(xì)節(jié)。其強(qiáng)調(diào)，此次泄漏不涉及任何漏洞，完全是由服務(wù)器配置錯(cuò)誤引起的?！拔覀冋谂Ω倪M(jìn)流程，以進(jìn)一步防止此類錯(cuò)誤配置，并執(zhí)行額外的盡職調(diào)查以并確保所有微軟端點(diǎn)的安全?！?/p>

微軟還表示，對(duì) SOCRadar 在此事件中發(fā)布的數(shù)據(jù)泄露搜索工具“感到失望”，因?yàn)檫@不符合確保客戶隱私或安全的最佳利益，并可能使客戶面臨不必要的安全風(fēng)險(xiǎn)。SOCRadar 表示，它提供了一項(xiàng)免費(fèi)服務(wù)，企業(yè)可以使用它來(lái)搜索公司名稱，以確定他們是否受到任何 BlueBleed 泄漏的影響。

對(duì)于任何想要提供類似工具的安全公司，微軟建議要遵循基本措施來(lái)實(shí)現(xiàn)數(shù)據(jù)保護(hù)和隱私：

實(shí)施合理的驗(yàn)證系統(tǒng)，以確保用戶與其聲稱的身份相符；

遵循數(shù)據(jù)最小化原則，將交付的結(jié)果范圍限定為僅與經(jīng)核實(shí)的用戶有關(guān)的信息。

如果該公司無(wú)法以合理的保真度確定哪些客戶的數(shù)據(jù)受到影響，則不向特定用戶提供可能屬于其他客戶的信息（包括元數(shù)據(jù) / 文件名）。

云存儲(chǔ)數(shù)據(jù)外泄成網(wǎng)絡(luò)攻擊主要路徑

SOCRadar 研究人員表示，服務(wù)器配置錯(cuò)誤已是數(shù)據(jù)泄露的主要原因之一。而根據(jù)網(wǎng)絡(luò)安全研究機(jī)構(gòu) SANS 最新發(fā)布的網(wǎng)絡(luò)攻擊和威脅報(bào)告，云存儲(chǔ)數(shù)據(jù)外泄已成為 2022 年最常見的攻擊路徑之一。

研究人員寫道：“威脅參與者是會(huì)不斷掃描公共存儲(chǔ)桶中的敏感數(shù)據(jù)。” “他們擁有使用高級(jí)工具自動(dòng)掃描的資源和手段。而企業(yè)應(yīng)使用自動(dòng)安全工具主動(dòng)監(jiān)控此類網(wǎng)絡(luò)風(fēng)險(xiǎn)?！?/p>

網(wǎng)絡(luò)安全公司 KnowBe4 的安全意識(shí)倡導(dǎo)者 Erich Kron 在接受媒體采訪時(shí)表示，一些暴露的數(shù)據(jù)可能看起來(lái)微不足道，但如果 SOCRadar 的信息是正確的，“它可能包括一些關(guān)于潛在客戶的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)配置的敏感信息。這些信息對(duì)可能對(duì)在這些組織的網(wǎng)絡(luò)中尋找漏洞的潛在攻擊者很有價(jià)值?！?/p>

Kron 還表示，像 BlueBleed 這樣的事件表明，與本地系統(tǒng)的類似問(wèn)題相比，云存儲(chǔ)的這種錯(cuò)誤配置很可能會(huì)暴露更多組織和個(gè)人的信息。

參考鏈接：

https://socradar.io/sensitive-data-of-65000-entities-in-111-countries-leaked-due-to-a-single-misconfigured-data-bucket/

https://msrc-blog.microsoft.com/2022/10/19/investigation-regarding-misconfigured-microsoft-storage-location-2/

https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/

關(guān)鍵詞： 研究人員 電子郵件 網(wǎng)絡(luò)安全