Microsoft Server数据泄露事件分析

关键要点

• SOCRadar公司声称，一个配置错误的Microsoft服务器导致数万名客户的敏感数据被泄露。
• 微软承认这一错误，并指责研究者“夸大”了影响范围。
• SOCRadar称此事件为“BlueBleed”，涉及超过65,000个客户的数据。
• 微软和SOCRadar的观点存在明显分歧，后者认为受到影响的客户信息应当得到透明处理。

SOCRadar是一家威胁情报公司，最近声称由于一个配置错误的微软服务器，数万名客户的敏感数据被公开暴露，包括个人可识别信息、用户数据、产品与项目细节以及知识产权等。

微软方面承认了这一错误，但指责研究者“夸大了”影响范围。

在周三，SOCRadar发布了一篇，称他们的云安全监控平台发现了一个暴露的AzureBlob服务器库，其中包含来自111个国家超过65,000个微软客户的敏感非公开数据。该公司表示，这次泄露被称为“BlueBleed”，包括概念证明、工作声明、个人可识别信息、知识产权、产品订单、项目详情及其他用户信息。

在一次采访中，SOCRadar的首席信息安全官Ensar Seker告诉SCMedia，服务器是通过他们的云监控引擎发现的，该引擎会在公共互联网中爬取。一旦发现暴露的Azure服务器，他们立即停止了爬取，向客户发出警报并通知微软。他们还创建了一个搜索工具，方便潜在受影响的客户确认其是否涉及数据泄露事件。

“我们首先通知了微软，他们说‘你需要删除所有数据’，”Seker说。“我们就这么做了，没分析任何数据，只保留域名、公司名称和电子邮件这几条元数据。如果这些信息出现在暴露的数据中，我们只告知客户你们涉及此事件，仅此而已。”

“我们从一开始就与微软分享了每一条信息，并始终保持沟通，”Seker补充道。

事件影响分析：微软 vs SOCRadar

微软在同一天发布的一篇中确认了事件，表示由于配置错误，导致某些客户数据可能被未经授权访问。

“商业交易数据包括姓名、电子邮件地址、电子邮件内容、公司名称和电话号码，可能还包含与客户和微软或其授权合作伙伴之间的业务相关的附加文件，”微软周三表示。

在通知后，该服务器已重新配置为私有，并且双重发布是在协调的漏洞披露流程下进行的，但微软对SOCRadar对此事件的描述表示批评，说他们“极大夸大了这个问题的范围”。

“我们对数据集进行了深入调查和分析，发现重复信息，存在多次提到相同的电子邮件、项目和用户。我们非常重视这个问题，并对SOCRadar在我们指出错误后，仍然夸大问题涉及的数字感到失望，”微软表示。“更重要的是，我们对SOCRadar选择公开发布一个‘搜索工具’的决定感到失望，这并不符合保护客户隐私和安全的最佳利益，并可能使他们面临不必要的风险。”

但是，Seker告诉SC Media，这并不准确。微软称为重复的文件实际上是不同跨国公司的暴露数据。他表示，这些组织往往有不同的领导层、财务账户和IT架构。

“根据我们的理解，这些是不同的实体，但微软说不，这些不是不同的实体，而是同一个账户，”他说。“但是当你看看这些组织的层级时，他们的首席执行官不同，财务部门不同，所以他们不能是同一个账户。”

受影响客户的风险管理

与此同时，Seker表示，创建搜索工具的目的是帮助SOCRadar的客户和其他人确认自己是否受到影响。最初，他们开始建议潜在受影响方联系微软进行验证，但微软却告诉这些实体他们未受到影响，而实际上相关文件