SOCRadar：微软因配置错误致2.4TB客户敏感数据泄露

据报道，网络安全供应商SOCRadar 检测到，由于服务器配置错误，65,000 个实体的敏感数据被公开。泄露的内容包括执行证明 (PoE)和工作说明书 (SoW)文件、用户信息、产品订单/报价、项目详细信息、PII（个人身份信息）数据以及可能泄露知识产权的文件。

SOCRadar 的内置云安全模块监控公共存储桶，以检测客户数据的任何信息泄露。在许多已发现的公共存储桶中，有六个大型存储桶包含 123 个不同国家/地区的 150,000 多家公司的信息。这些泄漏被SOCRadar 统称为 BlueBleed，以更好地跟踪周围的情报。

“BlueBleed”一词是由 SOCRadar 的威胁和漏洞研究员 Can Yoleri 创造的，指的是由六个配置错误的存储桶共同泄露的敏感信息。集合的第一部分是由于Azure Blob Storage配置错误造成的。它可以被认为是最严重的B2B 泄漏之一，影响了 111 个国家/地区的 65,000 多个实体，其敏感数据位于单个存储桶中。

可能已访问该存储桶的威胁参与者可能会以不同形式使用此信息进行勒索、勒索、借助暴露的信息创建社会工程策略，或者只是将信息出售给暗网和 Telegram 渠道上的最高出价者。

2022 年 9 月 24 日，SOCRadar 的内置云安全模块检测到由 Microsoft 维护的配置错误的 Azure Blob 存储，其中包含来自知名云提供商的敏感数据。

初步检测后，SOCRadar 研究人员调查了存储桶中存储SQLServer备份的存储区域。对备份的进一步调查使 SOCRadar 研究人员发现了配置错误的存储桶与其他 Azure Blob 存储之间的链接。一项彻底的调查显示，由于这种错误配置，数以万计的公司的敏感数据被暴露在公众面前。泄露数据的数量和规模使其成为近期网络安全历史上最重大的 B2B 数据泄露事件。

SOCRadar 安全团队将泄漏情况通知了存储桶的所有者 Microsoft，并通知了受泄漏影响的 SOCRadar 客户。微软迅速响应了 SOCRadar 的警报，并在几个小时内重新配置了存储桶以使其私有化。Microsoft 和 SOCRadar 合作调查泄漏并成功降低了暴露风险。该存储桶不再可公开访问。到目前为止，SOCRadar 研究人员已经在泄漏中发现了超过 335,000 封电子邮件、133,000 个项目和 548,000 名暴露用户。

微软随后回应称，在收到错误配置的通知后，端点很快得到保护，现在只能通过所需的身份验证访问。其调查没有发现任何迹象表明客户帐户或系统遭到入侵，并已直接通知受影响的客户。

微软表示，泄露的数据主要包括涉及微软与潜在客户之间互动的商业交易数据，并且泄漏很快被锁定。该问题是由未在 Microsoft 生态系统中使用的端点上的无意错误配置引起的，并且不是安全漏洞的结果。微软称正在努力改进流程，以进一步防止此类错误配置，并执行额外的尽职调查以调查并确保所有 Microsoft 端点的安全。 

此外，微软称“SOCRadar 大大夸大了此问题的范围”“我们非常重视这个问题，并对 SORadar 夸大了这个问题所涉及的数字感到失望。”

微软还批评了 SOCRadar 推出的一款搜索工具，该工具声称可以根据域名告诉客户他们的数据是否暴露。

“我们对 SOCRadar 选择公开发布一个“搜索工具”感到失望，这不符合确保客户隐私或安全的最佳利益，并可能使他们面临不必要的风险。我们建议任何想要提供类似工具的安全公司都遵循基本措施来实现数据保护和隐私”。

微软提供的示例包括：

实施合理的验证系统，以确保用户与其声称的身份相符；

遵循数据最小化原则，将交付的结果范围限定为仅与该经过验证的用户  有关的信息；

如果该公司无法以合理的保真度确定哪些客户影响了数据，则不会向可能属于另一个客户的给定用户信息（包括元数据/文件名）提供信息。