IOTW：微软SAS配置错误导致38TB数据泄露

该泄露事件是由于存储URL中包含“过度宽松”的SAS令牌所致

科技公司微软透露，其在2020年7月发生了一起数据泄露事件，导致38TB员工私人数据遭到曝光。

这一泄露消息于9月18日通过一篇博客文章公之于众。微软在文章中解释说，泄露是由软件配置错误引起的。

该公司分享说，这一配置错误是在2023年6月由IT安全公司Wiz发现的。在调查中，该公司发现“微软一名研究员在贡献开源AI学习模型时，无意中将SAS令牌包含在blob存储URL中，并在公共GitHub仓库中提供了该URL”。

由于该URL包含一个针对微软内部存储账户“过度宽松”的共享访问签名（SAS）令牌，这意味着外部方（包括Wiz的安全研究人员）能够使用该令牌访问内部存储账户及其中的数据。账户中存储的数据包括两名前员工的工作站配置文件备份，以及这些前员工发送给同事的内部Microsoft Teams消息。

总体而言，这意味着38TB的微软员工私人数据被公开，包括私钥和密码。

这一网络安全事件于2023年6月24日得到缓解，当时微软安全响应中心（MSRC）通过撤销SAS令牌阻止了所有对该存储账户的外部访问。对配置错误和数据泄露的调查显示，“此次暴露未对客户造成任何风险”。

为防止未来发生类似的网络安全事件，微软表示已扩展其秘密扫描服务，以标记所有可能具有过度宽松权限或过期的SAS令牌。该公司还修复了其历史重新扫描过程中的一个问题，该问题最初将导致数据泄露的SAS令牌标记为误报。