微軟被曝泄露2.4TB客戶敏感數(shù)據(jù) 6.5萬家公司受影響

10月21日消息，據(jù)外媒報道，網(wǎng)絡安全供應商SOCRadar最近向微軟通報了一次重大數(shù)據(jù)泄露事件，聲稱超過2.4TB客戶敏感數(shù)據(jù)被泄露，6.5萬家公司受到影響。微軟已經(jīng)承認此事，但辯稱SOCRadar“夸大了這次泄露事件的范圍和嚴重程度”。

SOCRadar表示，2022年9月24日，該公司的內(nèi)置云安全模塊檢測到微軟維護的Azure Blob存儲配置錯誤，其中包含來自一家知名云提供商的敏感數(shù)據(jù)。分析顯示，泄露的數(shù)據(jù)包括執(zhí)行證明(PoE)和工作說明書(SOW)文檔、用戶信息、產(chǎn)品訂單/報價、項目細節(jié)、個人身份信息(PII)數(shù)據(jù)，以及可能泄露知識產(chǎn)權的文檔。

SOCRadar披露稱，上述問題導致6.5萬家受影響公司的大量數(shù)據(jù)被泄露，包括姓名、電子郵件地址、電子郵件內(nèi)容、公司名稱和電話號碼，以及與受影響客戶和微軟或微軟授權合作伙伴之間的業(yè)務文件。其中有些文件的日期在2017年至2022年8月之間，時間跨度達五年之久。這些公司的總部位于111個國家和地區(qū)。

SOCRadar使用了專用數(shù)據(jù)泄露搜索門戶網(wǎng)站BlueBleed進行搜索，它允許公司確認自己的敏感信息是否暴露在被泄露的數(shù)據(jù)中。SOCRadar聲稱，僅在微軟的服務器上，就發(fā)現(xiàn)了2.4TB包含敏感信息的數(shù)據(jù)，在分析這些泄露的文件時，發(fā)現(xiàn)了超過33.5萬封電子郵件、13.3萬個項目和54.8萬名用戶名。

SOCRadar警告說：“犯罪分子可能會以不同的形式利用這些信息進行勒索、借助暴露的信息創(chuàng)造社會工程策略，或者簡單地在黑暗網(wǎng)絡和電報頻道上將信息出售給出價最高的人?！?/p>

微軟于周四對此作出了回應，稱SOCRadar“夸大了這次泄露事件的范圍和嚴重程度”。因為許多被曝光的數(shù)據(jù)包括“重復信息，多次引用相同的電子郵件、項目和用戶”。此外，微軟還表示，該問題是由一個終端上的無意錯誤配置造成的，該終端并未在整個微軟生態(tài)系統(tǒng)中使用，也不屬于安全漏洞。

微軟的帖子缺乏關鍵細節(jié)，比如未對泄露的數(shù)據(jù)進行更詳細的描述，或者微軟認為有多少當前或潛在客戶受到了影響。此外，這篇帖子指責SOCRadar使用了微軟認為不準確的數(shù)字。當一名受影響的客戶聯(lián)系微軟，詢問其所屬公司的數(shù)據(jù)是否被泄露時，微軟的答復是：“我們無法提供有關具體影響的數(shù)據(jù)。”

此外，微軟譴責SOCRadar收集數(shù)據(jù)，并使用專用搜索門戶網(wǎng)站進行搜索的做法，稱其“不符合確保客戶隱私或安全的最佳利益，并可能使他們面臨不必要的風險”。該公司的支持團隊還告訴客戶，它不會將此事通報給數(shù)據(jù)監(jiān)管機構。

批評人士也批評了微軟直接通知受影響客戶的方式。該公司通過消息中心聯(lián)系了受影響的實體，消息中心是微軟用來與管理員溝通的內(nèi)部消息系統(tǒng)，并非所有管理員都有權訪問此工具，這使得某些通知很可能無法看到。

獨立研究員凱文·博蒙特（Kevin Beaumont）在推特上寫道：“微軟不能拒絕告訴客戶數(shù)據(jù)被竊取了，而且顯然沒有通知監(jiān)管機構，這種應對方案顯然存在重大缺陷?！?/p>

除了對微軟披露泄密方式的批評外，這起事件還引發(fā)了對微軟數(shù)據(jù)保留政策的質疑。通常，與持有這些數(shù)據(jù)的公司相比，多年前的數(shù)據(jù)對潛在犯罪分子的用處更大。在這種情況下，最好的方法通常是定期銷毀數(shù)據(jù)。（小小）

生成海報

免責聲明：本網(wǎng)站內(nèi)容主要來自原創(chuàng)、合作伙伴供稿和第三方自媒體作者投稿，凡在本網(wǎng)站出現(xiàn)的信息，均僅供參考。本網(wǎng)站將盡力確保所提供信息的準確性及可靠性，但不保證有關資料的準確性及可靠性，讀者在使用前請進一步核實，并對任何自主決定的行為負責。本網(wǎng)站對有關資料所引致的錯誤、不確或遺漏，概不負任何法律責任。任何單位或個人認為本網(wǎng)站中的網(wǎng)頁或鏈接內(nèi)容可能涉嫌侵犯其知識產(chǎn)權或存在不實內(nèi)容時，應及時向本網(wǎng)站提出書面權利通知或不實情況說明，并提供身份證明、權屬證明及詳細侵權或不實情況證明。本網(wǎng)站在收到上述法律文件后，將會依法盡快聯(lián)系相關文章源頭核實，溝通刪除相關內(nèi)容或斷開相關鏈接。