SAS令牌安全事件发生两年后,微软终于承认泄露了38TB数据

极客网·网络安全9月22日 微软日前终于承认,两年前错误地泄露了公司员工的38TB私人数据,包括密码、私钥和Teams消息。这一网络安全事件发生在2020年7月,直到今年早些时候才被发现。

image001.png

SAS令牌是数据泄露元凶 

微软表示,那次泄漏事件的原因是该公司的Azure云平台上共享了一个配置错误的Blob存储桶,同时将开源人工智能学习模型分享给了公共GitHub存储库。

微软认为,大量泄露的数据与使用了一种共享访问签名(SAS)令牌有关,该令牌允许对泄露的文件进行完全访问和控制。

微软创建SAS令牌是为了将存储帐户内的适当数据访问级别分配给公司中的不同员工。这些令牌可以精确地分配访问权限,直至指定客户端可以与之交互的资源、他们可以访问的内容、他们对这些资源的权限以及可以持续访问多长时间。

安全服务商Wiz的研究人员发现了这一漏洞,并将此类令牌的使用描述为“难以监控和撤销”。 

Wiz警告说,“对这些令牌的监控措施似乎是不够的。由于缺乏监控和治理,SAS令牌构成了安全风险,它们的使用应该尽可能受到限制。这些令牌很难追踪,因为微软没有提供在Azure门户中管理它们的集中方式。” 

Wiz研究团队表示,“这些令牌可以配置为永久有效,没有到期时间。因此,使用count SAS令牌进行外部共享是不安全的,应该完全避免。” 

微软泄露了哪些数据? 

据报道,微软泄露的数据包括来自359名员工的3万多条Microsoft Team内部信息,以及Microsoft Services的密码和密钥。

在被告知泄露的两天后,该公司在6月24日撤销了SAS令牌,阻止了对Azure存储帐户的所有外部访问。 

不过微软当时坚称,此次泄露事件没有泄露客户的任何数据,也没有其他内部服务由于此次泄露而面临危险,并表示已于8月16日完成了对此次泄露事件对该公司影响的调查。 

为了降低再次发生类似事件的风险,微软在2022年12月扩展了其秘密扫描服务,以包括任何可能过期或特权时间过长的SAS令牌。 

该公司安全团队声称:“该服务运行微软提供的SAS检测,标记指向VHD和私钥等敏感内容的Azure Storage SAS URL。我们扩展了这种检测的规模,以包括任何可能具有过度许可的过期或特权的SAS令牌。”

极客网企业会员

免责声明:本网站内容主要来自原创、合作伙伴供稿和第三方自媒体作者投稿,凡在本网站出现的信息,均仅供参考。本网站将尽力确保所提供信息的准确性及可靠性,但不保证有关资料的准确性及可靠性,读者在使用前请进一步核实,并对任何自主决定的行为负责。本网站对有关资料所引致的错误、不确或遗漏,概不负任何法律责任。任何单位或个人认为本网站中的网页或链接内容可能涉嫌侵犯其知识产权或存在不实内容时,应及时向本网站提出书面权利通知或不实情况说明,并提供身份证明、权属证明及详细侵权或不实情况证明。本网站在收到上述法律文件后,将会依法尽快联系相关文章源头核实,沟通删除相关内容或断开相关链接。

2023-09-22
SAS令牌安全事件发生两年后,微软终于承认泄露了38TB数据
这一网络安全事件发生在2020年7月,直到今年早些时候才被发现。

长按扫码 阅读全文