网络安全供应商SOCRadar在周三(19日)表示,通过旗下云计算安全模块检测到Microsoft存储服务Azure Blob的单一服务器存储配置错误,导致来自111个国家超过6.5万家企业的资料被泄露,其中包括知名云计算供应商的敏感资料,成为史上最严重的B2B外泄事件之一。
Azure Blob的服务器载有多个SQLServer数据库及各式文件,在2017年至2022年8月期间共有约2.4TB的总资料量,而在事件中被泄露的文件包括执行证明(PoE)、工作说明(SoW)、产品订单及报价、客户文件、项目细节、个人资料,以及含有知识产权的文件;曝光的资料涉及超过33.5万封电邮、13.3万个项目及54.8万名用户的资料。
Microsoft解释指,意外源于旗下生态体系中的端点错误配置,使未经授权的用户访问Microsoft潜在客户的姓名、电邮内容、电话号码、附件等的商业交易资料。Microsoft强调事件是由于终端的错误配置而成,非安全漏洞,并在SOCRadar的通知下变更配置,及逐一通知所有受影响的用户,承诺会改善内部程序以防止同类型事件再次发生。
不过Microsoft认为SOCRadar夸大了资料外泄的规模,因为SOCRadar统计的资料包括多次重复出现的电邮、项目及用户资料。Microsoft更斥责公开免费搜索工具的SOCRadar不符合确保客户隐私或安全的最佳利益,即使用户可查询自己是否就资料外泄事件影响,但未有提供身份认证功能,会令用户面临不必要的风险。
数据源:Ars Technica