《電子技術(shù)應(yīng)用》
您所在的位置:首頁(yè) > 通信與網(wǎng)絡(luò) > 業(yè)界動(dòng)態(tài) > 微軟或因云服務(wù)器配置錯(cuò)誤暴露數(shù)萬(wàn)用戶敏感信息

微軟或因云服務(wù)器配置錯(cuò)誤暴露數(shù)萬(wàn)用戶敏感信息

2022-11-03
來源:安全牛
關(guān)鍵詞: 微軟 云服務(wù)器 敏感信息

  日前,微軟公司正式披露:由于一臺(tái)云服務(wù)器配置不當(dāng),導(dǎo)致某些客戶的敏感信息遭暴露。在獲悉該事件后,公司已經(jīng)第一時(shí)間加固了相關(guān)服務(wù)器安全。

  微軟表示,遭暴露的信息包括客戶姓名、郵件地址、郵件內(nèi)容、公司名稱和電話號(hào)碼等,而這些信息與受影響客戶以及微軟合作伙伴之間的業(yè)務(wù)存在關(guān)聯(lián)性。這次數(shù)據(jù)暴露事故是因“維護(hù)人員對(duì)服務(wù)器的無(wú)意配置錯(cuò)誤造成的,而非因安全漏洞引發(fā),該端點(diǎn)設(shè)備也并未在微軟生態(tài)中正式使用”。

  微軟并未進(jìn)一步提供與該數(shù)據(jù)暴露事件相關(guān)的更多詳情。但據(jù)有關(guān)媒體報(bào)道,這起事件首先由安全公司SOCRadar發(fā)現(xiàn)并通過博客文章發(fā)布。

  SOCRadar指出:2022年9月24日,該公司研發(fā)的內(nèi)置云安全模塊檢測(cè)到,微軟公司一個(gè)配置不當(dāng)?shù)?Azure Blob Storage服務(wù)器中包含大約2.4T屬于高級(jí)別云提供商的敏感數(shù)據(jù)。經(jīng)過分析發(fā)現(xiàn),這些敏感信息與全球111個(gè)國(guó)家(地區(qū))的超過6.5萬(wàn)個(gè)企業(yè)客戶關(guān)聯(lián)在一起,時(shí)間跨度從2017年起到2022年8月。一旦有黑客團(tuán)伙訪問了該服務(wù)器,就可利用相關(guān)信息,實(shí)施勒索、欺詐或在暗網(wǎng)出售等違法活動(dòng)。

  近年來,由于配置錯(cuò)誤導(dǎo)致的云數(shù)據(jù)泄露事件屢屢發(fā)生。不僅是在微軟的Azure存儲(chǔ)環(huán)境中,在亞馬遜AWS云服務(wù)中也會(huì)面臨同樣的問題。因?yàn)橐恍┮压_的泄露事件同樣涉及到配置錯(cuò)誤的AWS S3存儲(chǔ)桶中的數(shù)據(jù)。據(jù)趨勢(shì)科技一項(xiàng)調(diào)查發(fā)現(xiàn),服務(wù)器配置錯(cuò)誤已成為導(dǎo)致數(shù)據(jù)泄露的最常見云安全問題之一。

  Symmetry Systems公司首席數(shù)據(jù)安全專家克勞德曼迪(Claude Mandy)表示,每一次安全事故后的技術(shù)分析都將有利于整個(gè)行業(yè)采取更積極措施,以避免類似的問題。盡管圍繞此次微軟Azure Blob錯(cuò)誤配置的詳情尚不清楚。但不幸的是,這種云端設(shè)備的配置漂移現(xiàn)象在現(xiàn)實(shí)中非常常見。它可能是由于某些用戶擁有了過多特權(quán),或者不具備專業(yè)的安全配置外部訪問知識(shí)所引發(fā)。這一事件也凸顯了現(xiàn)代組織面臨的挑戰(zhàn),當(dāng)企業(yè)產(chǎn)生和收集的數(shù)據(jù)規(guī)模不斷增長(zhǎng)時(shí),應(yīng)該如何長(zhǎng)期保持正確規(guī)范的數(shù)據(jù)共享和數(shù)據(jù)方式。


更多信息可以來這里獲取==>>電子技術(shù)應(yīng)用-AET<<

二維碼.png


本站內(nèi)容除特別聲明的原創(chuàng)文章之外,轉(zhuǎn)載內(nèi)容只為傳遞更多信息,并不代表本網(wǎng)站贊同其觀點(diǎn)。轉(zhuǎn)載的所有的文章、圖片、音/視頻文件等資料的版權(quán)歸版權(quán)所有權(quán)人所有。本站采用的非本站原創(chuàng)文章及圖片等內(nèi)容無(wú)法一一聯(lián)系確認(rèn)版權(quán)者。如涉及作品內(nèi)容、版權(quán)和其它問題,請(qǐng)及時(shí)通過電子郵件或電話通知我們,以便迅速采取適當(dāng)措施,避免給雙方造成不必要的經(jīng)濟(jì)損失。聯(lián)系電話:010-82306118;郵箱:aet@chinaaet.com。