微软泄露了属于敏感客户的 2.4TB 数据。批评者愤怒

图片[1]-微软泄露了属于敏感客户的 2.4TB 数据。批评者愤怒-零度博客

 

微软因其披露最近安全漏洞的方式而面临批评,该漏洞暴露了一家安全公司所说的 2.4 TB 数据,其中包括五年内 65,000 名当前或潜在客户的已签署发票和合同、联系信息和电子邮件。

根据安全公司 SOCRadar 周三公布的披露,这些数据跨越 2017 年至 2022 年 8 月。这些数据包括执行证明和工作文件声明、用户信息、产品订单/报价、项目详细信息、个人身份信息,以及可能泄露知识产权的文件。SOCRadar 表示,它在单个数据桶中发现了该信息,该信息是Azure Blob Storage配置错误的结果。

微软不能,或者微软不会?

微软周三发布了自己的披露,称这家安全公司“大大夸大了这个问题的范围”,因为一些暴露的数据包括“重复信息,多次引用相同的电子邮件、项目和用户”。进一步使用“问题”一词作为“泄漏”的委婉说法,微软还表示:“该问题是由端点上的无意错误配置引起的,该端点未在整个微软生态系统中使用,并且不是安全漏洞的结果。 ”

440 字的帖子缺少基本信息,其中包含关键细节,例如对泄露数据的更详细描述,或者微软真正认为有多少当前或潜在客户受到影响。相反,该帖子指责 SOCRadar 使用了微软不同意的数字,并包含了一个人们可以用来确定他们的数据是否在暴露的存储桶中的搜索引擎。(安全公司此后限制了对该页面的访问。)

当一位受影响的客户联系微软询问他们组织的哪些具体数据被泄露时,得到的答复是:“我们无法提供此问题中的具体受影响数据。” 当受影响的客户提出抗议时,微软支持工程师再次拒绝了。

批评者还指责微软直接通知受影响的人的方式。该公司通过消息中心联系受影响的实体,消息中心是微软用来与管理员沟通的内部消息系统。并非所有管理员都能够访问此工具,因此很可能有些通知已经看不见了。Twitter 上显示的直接消息还显示,微软表示,法律并未要求该公司向当局披露这一失误。

独立研究员凯文博蒙特在推特上写道:“微软无法(阅读:拒绝)告诉客户获取了哪些数据,并且显然没有通知监管机构——这是一项法律要求——具有严重拙劣回应的标志。 ” “我希望不是。”

他继续发布屏幕截图,记录暴露的数据已 在Grayhat Warfare上公开数月,这是一个扫描并存储公开存储桶中暴露数据的数据库。

正如 Beaumont 发布的 Grayhat Warfare 图片所示,缓存的数据包括数字签名的合同和采购订单。他说,其他暴露的数据包括“来自美国 .gov 的电子邮件、谈论 O365 项目、金钱等”。它还包括有关 CNI的信息,CNI是关键国家基础设施的缩写。

除了对微软披露泄密方式的批评外,该事件还引发了对微软数据保留政策的质疑。通常,多年前的数据对潜在犯罪分子的好处大于对持有它的公司的好处。在这种情况下,最好的办法通常是定期销毁数据。

微软没有立即回复寻求对此故事发表评论的电子邮件。

过去五年中的潜在或实际 Microsoft 企业客户应查看上面链接的两篇博客文章,并查看消息中心以获取任何暴露通知。如果组织受到影响,工作人员应注意诈骗、网络钓鱼电子邮件或其他利用暴露信息的尝试。

THE END
喜欢就支持一下吧
点赞2251 分享
谷歌惊艳研究界!全新小巧 Gemma AI 模型震撼登场,本地智能计算轻松实现!-零度博客

谷歌惊艳研究界!全新小巧 Gemma AI 模型震撼登场,本地智能计算轻松实现!

近期,谷歌一直在积极推动各类Gemini AI模型,而今天,他们专为特定用户群体推出了一个更为精简的新型号。这款全新的模型被命名为Gemma,主要面向那些希望利用本地模型而非通过云服务访问人工智...
admin的头像-零度博客admin
1.3W+1527
比特币史上最大的悬案 “是谁破解了中本聪账号”? | 零度解密-零度博客
苹果 macOS、iOS  爆高危漏洞,只需一个短信,电脑和手机都会被黑!请立即自查!! 2024 | 零度解说-零度博客
MacOS 用户优选 IP, 自动设置Warp的最快节点!-零度博客

MacOS 用户优选 IP, 自动设置Warp的最快节点!

Mac 用户需要在Warp 上 优选的 ip的化,请按下面的步骤来操作 1.请把下面的命令另存为 warp-yxip-mac.sh 脚本 #!/bin/bash export LANG=en_US.UTF-8 RED='\033[31m' GREEN='\033[32m' YELLOW='\...
admin的头像-零度博客admin
2.4W+2176
如何找回丢失或被盗的 Android 安卓手机 ! | 零度解说-零度博客
OmniHuman-1 多模态 “真人”视频生成项目! 效果真不错-零度博客

OmniHuman-1 多模态 “真人”视频生成项目! 效果真不错

OmniHuman 支持多种视觉和音频风格,可生成任意长宽比和身体比例(人像、半身、全身合一)的逼真人体视频,真实感源自动作、光照、纹理细节等综合方面。 官方项目链接:https://omnihuman-lab.g...
admin的头像-零度博客admin
1.5W+2672
Windows 11  LTSC 2024 官方精简版!简体中文正式版ISO镜像下载-零度博客

Windows 11 LTSC 2024 官方精简版!简体中文正式版ISO镜像下载

Win11企业版 2024 长期服务版 (Windows 11 IoT Enterprise LTSC 2024) 提供长达 10 年的支持服务,支持至 2034 年。它可视为官方推出的精简版 Win11,系统稳定流畅,对电脑硬件的要求较低,适合...
admin的头像-零度博客admin
14.9W+5481
少年黑客声称他可以远程访问和解锁超过 25 辆特斯拉汽车-零度博客

少年黑客声称他可以远程访问和解锁超过 25 辆特斯拉汽车

谈到电动汽车,网络威胁日益受到关注。虽然我们过去曾看到黑客攻击特斯拉汽车的报道,但最近,一名少年声称可以访问跨越十多个不同地区的 25 多辆特斯拉汽车。 一位 19 岁的自称为 IT 专家的 Da...
admin的头像-零度博客admin
1.5W+2251
具有 140 万安装量的 Chrome 扩展程序秘密跟踪访问并注入代码-零度博客

具有 140 万安装量的 Chrome 扩展程序秘密跟踪访问并注入代码

如果您安装了这些扩展中的任何一个,请手动删除它们。   在第三方研究人员报告称他们偷偷跟踪用户的浏览历史并将跟踪代码插入他们访问的特定电子商务网站后,谷歌已从 Chrome Web Store 中...
admin的头像-零度博客admin
1.6W+2250