最嚴(yán)重的云存儲(chǔ)數(shù)據(jù)外泄事故之一：微軟錯(cuò)誤配置導(dǎo)致客戶(hù)數(shù)據(jù)泄露

最嚴(yán)重的云存儲(chǔ)數(shù)據(jù)外泄事故之一：微軟錯(cuò)誤配置導(dǎo)致客戶(hù)數(shù)據(jù)泄露

整理｜燕珊

“這肯定不是第一次因配置錯(cuò)誤的服務(wù)器而暴露敏感信息，也不會(huì)是最后一次。但這是近年來(lái) B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一。”

微軟安全響應(yīng)中心在當(dāng)?shù)貢r(shí)間 10 月 20 日發(fā)布公告，針對(duì) 19 日網(wǎng)絡(luò)安全供應(yīng)商 SOCRadar 通報(bào)的數(shù)據(jù)泄露事件的調(diào)查報(bào)告，微軟承認(rèn)了關(guān)鍵事實(shí)——即由于公有云服務(wù)器端點(diǎn)配置錯(cuò)誤，可能導(dǎo)致未經(jīng)身份認(rèn)證的訪問(wèn)行為，繼而泄漏微軟和客戶(hù)之間的某些業(yè)務(wù)交易數(shù)據(jù)以及客戶(hù)的客人信息。但微軟同時(shí)反駁稱(chēng)，SOCRadar 報(bào)告中的數(shù)字被刻意夸大。

可能涉及 111 個(gè)國(guó)家 / 地區(qū)，6.5 萬(wàn)個(gè)實(shí)體

SOCRadar 表示，它在搜尋和監(jiān)控公共云存儲(chǔ)桶的過(guò)程中，發(fā)現(xiàn)了六個(gè)由微軟管理的大型公共存儲(chǔ)桶，其中暴露了覆蓋 123 個(gè)國(guó)家 / 地區(qū)超過(guò) 15 萬(wàn)家公司的信息。SOCRadar 將這次的數(shù)據(jù)泄漏統(tǒng)稱(chēng)為 BlueBleed。

根據(jù) SOCRadar 的報(bào)告，2022 年 9 月 24 日，該公司的內(nèi)置云安全模塊檢測(cè)到微軟維護(hù)的 Azure Blob 存儲(chǔ)配置錯(cuò)誤（來(lái)自最大的公共存儲(chǔ)桶之一，被 SOCRadar 稱(chēng)為 BlueBleed 第 1 部分），其中包含來(lái)自知名云提供商的敏感數(shù)據(jù)。

SOCRadar 對(duì)配置錯(cuò)誤的服務(wù)器、SQLServer 數(shù)據(jù)庫(kù)和其他文件進(jìn)行了調(diào)查，發(fā)現(xiàn)暴露的數(shù)據(jù)總計(jì) 2.4 TB ，文件時(shí)間橫跨 2017 年到 2022 年 8 月，時(shí)間跨度達(dá) 5 年之久，涉及 111 個(gè)國(guó)家 / 地區(qū)的 6.5 萬(wàn)多個(gè)實(shí)體，有超過(guò) 33.5 萬(wàn)封電子郵件、13.3 萬(wàn)個(gè)項(xiàng)目和 54.8 萬(wàn)名用戶(hù)暴露。

泄露的文件包括執(zhí)行證明（PoE） 、工作說(shuō)明文檔、發(fā)票、產(chǎn)品訂單 / 報(bào)價(jià)、項(xiàng)目詳情、已簽署的客戶(hù)文件、POC 工程、客戶(hù)電子郵件、客戶(hù)產(chǎn)品價(jià)目表和客戶(hù)庫(kù)存、客戶(hù)內(nèi)部意見(jiàn)、營(yíng)銷(xiāo)策略、客戶(hù)資產(chǎn)文檔以及合作伙伴生態(tài)系統(tǒng)詳細(xì)信息等。

SOCRadar 警告稱(chēng)，訪問(wèn)過(guò)上述存儲(chǔ)桶的人可能會(huì)利用這些數(shù)據(jù)和信息進(jìn)行勒索、釣魚(yú)，或?qū)⑵浞诺桨稻W(wǎng)上拍賣(mài)。

“當(dāng)然，這肯定不是第一次因配置錯(cuò)誤的服務(wù)器而暴露敏感信息，也不會(huì)是最后一次，” SOCRadar 的研究人員、BlueBleed 的主要調(diào)查員 Can Yoleri 說(shuō)道。“然而，由于涉及數(shù)萬(wàn)個(gè)實(shí)體的重要泄露數(shù)據(jù)，BlueBleed 是近年來(lái) B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一。”

微軟爭(zhēng)論其客戶(hù)數(shù)據(jù)泄露的規(guī)模有多大

微軟承認(rèn)了數(shù)據(jù)泄露，并對(duì) SOCRadar 關(guān)于這一事件的告知和分析表示感謝，但同時(shí)指出，SOCRadar 的博文夸大了這個(gè)問(wèn)題的范圍。

微軟辯稱(chēng)，目前沒(méi)有任何跡象表明客戶(hù)帳戶(hù)或系統(tǒng)已經(jīng)被入侵，在接到錯(cuò)誤配置的通知后，該端點(diǎn)迅速得到了保護(hù)，現(xiàn)在只有通過(guò)必要的認(rèn)證才能訪問(wèn)，并已將情況通知給受影響的客戶(hù)。此外，通過(guò)對(duì)數(shù)據(jù)集的深入調(diào)查和分析，發(fā)現(xiàn)有很多重復(fù)的數(shù)據(jù)，多次引用相同的電子郵件、項(xiàng)目和用戶(hù)。

但微軟沒(méi)有透露在此次數(shù)據(jù)泄漏中可能涉及的公司數(shù)量或涉及的數(shù)據(jù)量等細(xì)節(jié)。其強(qiáng)調(diào)，此次泄漏不涉及任何漏洞，完全是由服務(wù)器配置錯(cuò)誤引起的。“我們正在努力改進(jìn)流程，以進(jìn)一步防止此類(lèi)錯(cuò)誤配置，并執(zhí)行額外的盡職調(diào)查以并確保所有微軟端點(diǎn)的安全。 ”

微軟還表示，對(duì) SOCRadar 在此事件中發(fā)布的數(shù)據(jù)泄露搜索工具“感到失望”，因?yàn)檫@不符合確保客戶(hù)隱私或安全的最佳利益，并可能使客戶(hù)面臨不必要的安全風(fēng)險(xiǎn)。SOCRadar 表示，它提供了一項(xiàng)免費(fèi)服務(wù)，企業(yè)可以使用它來(lái)搜索公司名稱(chēng)，以確定他們是否受到任何 BlueBleed 泄漏的影響。

對(duì)于任何想要提供類(lèi)似工具的安全公司，微軟建議要遵循基本措施來(lái)實(shí)現(xiàn)數(shù)據(jù)保護(hù)和隱私：

1. 實(shí)施合理的驗(yàn)證系統(tǒng)，以確保用戶(hù)與其聲稱(chēng)的身份相符；
2. 遵循數(shù)據(jù)最小化原則，將交付的結(jié)果范圍限定為僅與經(jīng)核實(shí)的用戶(hù)有關(guān)的信息。
3. 如果該公司無(wú)法以合理的保真度確定哪些客戶(hù)的數(shù)據(jù)受到影響，則不向特定用戶(hù)提供可能屬于其他客戶(hù)的信息（包括元數(shù)據(jù) / 文件名）。

云存儲(chǔ)數(shù)據(jù)外泄成網(wǎng)絡(luò)攻擊主要路徑

SOCRadar 研究人員表示，服務(wù)器配置錯(cuò)誤已是數(shù)據(jù)泄露的主要原因之一。而根據(jù)網(wǎng)絡(luò)安全研究機(jī)構(gòu) SANS 最新發(fā)布的網(wǎng)絡(luò)攻擊和威脅報(bào)告，云存儲(chǔ)數(shù)據(jù)外泄已成為 2022 年最常見(jiàn)的攻擊路徑之一。

研究人員寫(xiě)道：“威脅參與者是會(huì)不斷掃描公共存儲(chǔ)桶中的敏感數(shù)據(jù)。” “他們擁有使用高級(jí)工具自動(dòng)掃描的資源和手段。而企業(yè)應(yīng)使用自動(dòng)安全工具主動(dòng)監(jiān)控此類(lèi)網(wǎng)絡(luò)風(fēng)險(xiǎn)。”

網(wǎng)絡(luò)安全公司 KnowBe4 的安全意識(shí)倡導(dǎo)者 Erich Kron 在接受媒體采訪時(shí)表示，一些暴露的數(shù)據(jù)可能看起來(lái)微不足道，但如果 SOCRadar 的信息是正確的，“它可能包括一些關(guān)于潛在客戶(hù)的基礎(chǔ)設(shè)施和網(wǎng)絡(luò)配置的敏感信息。這些信息對(duì)可能對(duì)在這些組織的網(wǎng)絡(luò)中尋找漏洞的潛在攻擊者很有價(jià)值。”

Kron 還表示，像 BlueBleed 這樣的事件表明，與本地系統(tǒng)的類(lèi)似問(wèn)題相比，云存儲(chǔ)的這種錯(cuò)誤配置很可能會(huì)暴露更多組織和個(gè)人的信息。

參考鏈接：

https://socradar.io/sensitivedataof65000entitiesin111countriesleakedduetoasinglemisconfigureddatabucket/

https://msrcblog.microsoft.com/2022/10/19/investigationregardingmisconfiguredmicrosoftstoragelocation2/

https://www.theregister.com/2022/10/20/microsoft_data_leak_socradar/

聲明：本文為InfoQ翻譯，未經(jīng)許可禁止轉(zhuǎn)載。