微软SAS配置错误导致38TB数据泄露

科技公司微软透露，其在2020年7月发生数据泄露事件，导致38TB员工私人数据遭暴露。

该泄露消息于9月18日通过博客文章公开。微软在文中解释，泄露是由软件配置错误引起。

公司表示，此配置错误于2023年6月由IT安全公司Wiz发现。调查显示，“微软一名研究员在贡献开源AI学习模型时，无意中将SAS令牌包含在blob存储URL中，并将该URL提供至公共GitHub仓库”。

由于该URL包含对微软内部存储账户“过度宽松”的共享访问签名(SAS)令牌，这意味着外部方（包括Wiz的安全研究人员）能够使用该令牌访问内部存储账户及其中的数据。账户中存储的数据包括两名前员工的工作站配置文件备份，以及这些前员工发送给同事的内部Microsoft Teams消息。

总体而言，这意味着38TB的微软员工私人数据被公开，包括私人密钥和密码。

该网络安全事件于2023年6月24日得到缓解，微软安全响应中心(MSRC)通过撤销SAS令牌阻止了所有对该存储账户的外部访问。对配置错误和数据泄露的调查显示，“此次暴露未对客户造成任何风险”。

为防止未来发生类似网络安全事件，微软表示已扩展其密钥扫描服务，以标记所有可能具有过度宽松权限或过期时间的SAS令牌。公司还修复了其历史重新扫描过程中的一个问题，该问题最初将导致数据泄露的SAS令牌误报为假阳性。