SAS令牌安全事件发生两年后,微软终于承认泄露了38TB数据

2023-09-23 15:34:00

微软日前终于承认,两年前错误地泄露了公司员工的38TB私人数据,包括密码、私钥和Teams消息。这一网络安全事件发生在2020年7月,直到今年早些时候才被发现。SAS令牌是数据泄露元凶 微软表示,那次泄漏事件的原因是该公司的Azure云平台上共享了一个配置错误的Blob存储桶,同时将开源人工智能学习模型分享给了公共GitHub存储库。微软认为,大量泄露的数据与使用了一种共享访问签名(SAS)令牌有...

微软日前终于承认,两年前错误地泄露了公司员工的38TB私人数据,包括密码、私钥和Teams消息。这一网络安全事件发生在2020年7月,直到今年早些时候才被发现。

SAS令牌是数据泄露元凶 

微软表示,那次泄漏事件的原因是该公司的Azure云平台上共享了一个配置错误的Blob存储桶,同时将开源人工智能学习模型分享给了公共GitHub存储库。

微软认为,大量泄露的数据与使用了一种共享访问签名(SAS)令牌有关,该令牌允许对泄露的文件进行完全访问和控制。

微软创建SAS令牌是为了将存储帐户内的适当数据访问级别分配给公司中的不同员工。这些令牌可以精确地分配访问权限,直至指定客户端可以与之交互的资源、他们可以访问的内容、他们对这些资源的权限以及可以持续访问多长时间。

安全服务商Wiz的研究人员发现了这一漏洞,并将此类令牌的使用描述为“难以监控和撤销”。 

Wiz警告说,“对这些令牌的监控措施似乎是不够的。由于缺乏监控和治理,SAS令牌构成了安全风险,它们的使用应该尽可能受到限制。这些令牌很难追踪,因为微软没有提供在Azure门户中管理它们的集中方式。” 

Wiz研究团队表示,“这些令牌可以配置为永久有效,没有到期时间。因此,使用count SAS令牌进行外部共享是不安全的,应该完全避免。” 

微软泄露了哪些数据? 

image001.png

据报道,微软泄露的数据包括来自359名员工的3万多条Microsoft Team内部信息,以及Microsoft Services的密码和密钥。

在被告知泄露的两天后,该公司在6月24日撤销了SAS令牌,阻止了对Azure存储帐户的所有外部访问。 

不过微软当时坚称,此次泄露事件没有泄露客户的任何数据,也没有其他内部服务由于此次泄露而面临危险,并表示已于8月16日完成了对此次泄露事件对该公司影响的调查。 

为了降低再次发生类似事件的风险,微软在2022年12月扩展了其秘密扫描服务,以包括任何可能过期或特权时间过长的SAS令牌。 

该公司安全团队声称:“该服务运行微软提供的SAS检测,标记指向VHD和私钥等敏感内容的Azure Storage SAS URL。我们扩展了这种检测的规模,以包括任何可能具有过度许可的过期或特权的SAS令牌。”


大家还爱看

相关内容

企业数据重要性不言而喻,而同时数据的流动和共享也带来了安全风险,如何确保企业数据在流动过程中的安全性,也成为了企业需要面临的重要问题。 企业数据流动安全管理软件的主要功能是监控和管理企业数据的流动过程。 它能够对企业内部的数据流动进行实时监控,确保数据的流向和访问符合安全规范。 软件通过设定访问权限、加密传输、审计日志...
终端安全,是指采用一系列技术和策略,保护计算机终端及其上存储、处理和传输的数据免受未经授权的访问、泄露、破坏或滥用。 终端通常指的是企业中的计算机、笔记本、平板、智能手机等设备,这些设备是企业日常运营和业务活动不可或缺的一部分。 因此,保障终端安全对企业来说至关重要。 企业进行终端安全防护的原因主要有以下几点: 首先,...
信息系统安全性审计的主要目标是审查企业信息系统和电子数据的安全性、可靠性、可用性、保密性等。 一是预防来自互联网对信息系统的威胁,二是预防来自企业内部对信息系统的危害。 ——百度百科 什么是信息系统安全? 信息系统安全涉及多个层面和维度,确保数据的机密性、完整性和可用性是其核心目标。具体来说,信息系统安全主要包括以下几...
随着互联网的普及和数字化进程的加速,网络安全已经成为我们生活中不可或缺的一部分。然而,很多人对于网络安全的概念仍然模糊不清。 那么,什么是网络安全?它究竟有多重要呢? 一、网络安全的定义 网络安全是指保护网络系统中的硬件、软件和数据不受未经授权的访问、破坏、更改或泄露的能力。它涵盖了网络系统的保密性、完整性和可用性三个...
在当今信息化的时代,企业的内网已经成为其核心资产的重要组成部分。 随着企业的快速发展和信息化程度的提升,内网安全问题日益凸显,如何保障内网的安全和机密信息的保密性,已经成为企业亟待解决的问题。 内网安全管理系统(保密管理系统)? 内网安全管理系统(保密管理系统)是一种集成了先进的安全技术和严格的管理机制的信息安全系统。...
在信息时代,企业的重要涉密文件是企业的核心竞争力,一旦被窃取或泄露,将会给企业带来不可估量的损失。 因此,企业需要采取一系列措施来保护涉密文件的安全,防止泄密事件的发生。 本文将介绍一些文件防止泄密的措施,帮助企业提高文件安全性。 文件泄密的危害 文件泄密的危害是多方面的,不仅会给企业带来经济损失,还会损害员工利益,甚...