根据科技媒体Tech Monitor报道,微软在本周承认了三年前Azure云平台上错误地泄露了属于该公司员工的38TB私人数据,其中包括密码,私钥和Teams消息。该泄漏发生在 2020 年 7月,并于今年早些时候被发现。

微软表示,泄露是通过在微软Azure云平台上共享了一个配置错误的Blob存储桶,并将作为开源AI学习模型捐赠给公共GitHub存储库。泄露的数据包含来自359名员工的3万多条内部Microsoft Teams消息的存档,以及微软服务的密码和密钥。

Wiz表示,这个网址链接从2020年就开始暴露数据,直到Wiz发现该问题并在今年6月22日和微软分享了研究成果。该公司在收到泄露通知两天后,于6月24 日撤销了 SAS 令牌,阻止了对 Azure 存储帐户的所有外部访问。来自微软的消息称,他们于8月16日完成了对该泄漏对组织的影响调查。微软坚持认为,本次泄漏没有暴露任何客户数据,也没有其他内部服务因违规而处于危险之中。

安全公司Wiz的研究人员发现了这一漏洞。Wiz团队在扫描互联网以查找配置错误的存储容器过程中,在名为 . 的 Microsoft 组织下找到了 GitHub 存储库。该存储库属于Microsoft的AI研究部门,其目的是为图像识别提供开源代码和AI模型。

Microsoft通过大量公开的数据与使用一种共享访问签名(SAS)令牌相关联,该令牌允许对公开的文件进行完全访问和控制。Wiz发文表示,此类令牌的使用难以监控和撤销。创建 SAS 令牌是为了将存储账户中的适当级别的数据访问分配给公司中的不同员工。令牌可以精确地分配访问权限,指定用户可交互的资源、可以访问的内容,他们对这些资源可具有的权限以及可访问的时长。

Wiz警告说,现有手段对这些令牌的监控似乎是不够;由于缺乏监控和治理,SAS令牌构成了安全风险,应该尽量限制这些令牌的使用。具体到Azure,微软没有提供一个对这些令牌进行集中管理的门户。不仅如此,因为SAS令牌可以配置为永久存在,从而使它们更加不安全。“

为了降低再次发生类似事件的风险,Microsoft于 2022 年 12 月扩展了其秘密扫描服务,其中包括任何可能过期或存在特权的 SAS 令牌。

来自微软团队的一篇稿件称,该服务运行由Microsoft提供的SAS检测,该检测标记指向敏感内容的Azure Storage SAS URL,例如VHD和专用加密密钥;微软已将此检测扩展到包括任何可能具有许可过期或特权过度的SAS令牌。