欧美日本日韩aⅴ在线视频,亚洲va天堂va在线va,亚洲国产欧美一区

世界熱資訊！微軟辯稱SOCRadar夸大了BlueBleed錯誤存儲配置的影響范圍

2022-10-20 17:37:16 來源：cnBeta.COM

在周三的一份公告中，微軟安全響應(yīng)中心（MSRC）證實(shí)其于 9 月 24 日，獲悉了被 SOCRadar 安全研究人員稱作“BlueBleed”的問題。據(jù)悉，問題源于 Azure Blob 存儲桶中的錯誤配置，導(dǎo)致微軟、客戶和授權(quán)合作伙伴的數(shù)據(jù)可被外界公開訪問，涉及用戶姓名、電子郵件地址和正文、公司名稱、電話號碼、以及文件附件。

訪問:

(資料圖片僅供參考)

微軟中國官方商城 - 首頁

BlueBleed 泄露的敏感數(shù)據(jù)轉(zhuǎn)儲（來自：SOCRadar | MSRC）

盡管微軟承認(rèn)了 SOCRadar 的報(bào)告，但這家雷德蒙德軟件巨頭還是對這家安全公司的披露方式感到失望，尤其指出報(bào)告中的數(shù)字被刻意夸大。

SOCRadar 將 BlueBleed 描述為“近年來 B2B 領(lǐng)域最大規(guī)模的數(shù)據(jù)泄露事件之一”，波及 111 個市場區(qū)域 / 6.5 萬個實(shí)體的數(shù)據(jù)。

SOCRadar 云安全模塊發(fā)現(xiàn)了服務(wù)器上的錯誤存儲配置

但是微軟辯稱大量爭議數(shù)據(jù)為重復(fù)內(nèi)容，且錯誤配置的范圍也被 SOCRadar 夸大。

該公司遺憾地表示，盡管其向 SOCRadar 提出了投訴，但后者并未在博客文章中更新相關(guān)措辭。

BlueBleed（Part I）泄露文件的類型分布

此外為了推銷自家的威脅檢測工具，微軟也決定將 SOCRadar 撇到一邊，稱對方的做法“不符合確保其客戶隱私或安全的最佳利益、并可能使之面臨不必要的風(fēng)險(xiǎn)”。

當(dāng)然，在打口水仗之外，我們還是建議 Azure Blob 存儲桶客戶遵循以下規(guī)范指導(dǎo)：

● 落實(shí)合理的驗(yàn)證機(jī)制，確保用戶與其真實(shí)身份相符。
● 遵循數(shù)據(jù)最小化原則，將信息交付的結(jié)果，限定到僅與經(jīng)過驗(yàn)證的特定用戶有關(guān)的范圍。
● 若公司無法以合理的保真度確定哪些客戶影響了數(shù)據(jù)，就不該提供可能屬于另一客戶的信息（包括元數(shù)據(jù) / 文件名）。

常見攻擊途徑

最后，微軟澄清道 —— 雖然存在未經(jīng)授權(quán)訪問存儲桶的可能性，但其調(diào)查顯示端點(diǎn)沒有發(fā)生此類一場活動。

目前相關(guān)問題已經(jīng)得到修復(fù)，且受影響的客戶均已收到聯(lián)系通知。

關(guān)鍵詞： Microsoft 微軟辯稱SOCRadar夸大了BlueBleed錯誤存