10 月 21 日消息，微软万据报道，被曝网络安全供应商 SOCRadar 最近向微软通报了一次重大数据泄露事件，泄露响声称超过 2.4TB 客户敏感数据被泄露，客户6.5 万家公司受到影响。敏感微软已经承认此事，数据受影但辩称 SOCRadar“夸大了这次泄露事件的公司范围和严重程度”。

SOCRadar 表示，微软万2022 年 9 月 24 日，被曝该公司的泄露响内置云安全模块检测到微软维护的 Azure Blob 存储配置错误，其中包含来自一家知名云提供商的客户敏感数据。分析显示，敏感泄露的数据受影数据包括执行证明 （PoE） 和工作说明书 （SOW） 文档、用户信息、公司产品订单 / 报价、微软万项目细节、个人身份信息 （PII） 数据，以及可能泄露知识产权的文档。

SOCRadar 披露称，上述问题导致 6.5 万家受影响公司的大量数据被泄露，包括姓名、电子邮件地址、电子邮件内容、公司名称和电话号码，以及与受影响客户和微软或微软授权合作伙伴之间的业务文件。其中有些文件的日期在 2017 年至 2022 年 8 月之间，时间跨度达五年之久。这些公司的总部位于 111 个国家和地区。

SOCRadar 使用了专用数据泄露搜索门户网站 BlueBleed 进行搜索，它允许公司确认自己的敏感信息是否暴露在被泄露的数据中。SOCRadar 声称，仅在微软的服务器上，就发现了 2.4TB 包含敏感信息的数据，在分析这些泄露的文件时，发现了超过 33.5 万封电子邮件、13.3 万个项目和 54.8 万名用户名。

SOCRadar 警告说：“犯罪分子可能会以不同的形式利用这些信息进行勒索、借助暴露的信息创造社会工程策略，或者简单地在黑暗网络和电报频道上将信息出售给出价最高的人。”

微软于周四对此作出了回应，称 SOCRadar“夸大了这次泄露事件的范围和严重程度”。因为许多被曝光的数据包括“重复信息，多次引用相同的电子邮件、项目和用户”。此外，微软还表示，该问题是由一个终端上的无意错误配置造成的，该终端并未在整个微软生态系统中使用，也不属于安全漏洞。

微软的帖子缺乏关键细节，比如未对泄露的数据进行更详细的描述，或者微软认为有多少当前或潜在客户受到了影响。此外，这篇帖子指责 SOCRadar 使用了微软认为不准确的数字。当一名受影响的客户联系微软，询问其所属公司的数据是否被泄露时，微软的答复是：“我们无法提供有关具体影响的数据。”

此外，微软谴责 SOCRadar 收集数据，并使用专用搜索门户网站进行搜索的做法，称其“不符合确保客户隐私或安全的最佳利益，并可能使他们面临不必要的风险”。该公司的支持团队还告诉客户，它不会将此事通报给数据监管机构。

批评人士也批评了微软直接通知受影响客户的方式。该公司通过消息中心联系了受影响的实体，消息中心是微软用来与管理员沟通的内部消息系统，并非所有管理员都有权访问此工具，这使得某些通知很可能无法看到。

独立研究员凯文・博蒙特（Kevin Beaumont）在推特上写道：“微软不能拒绝告诉客户数据被窃取了，而且显然没有通知监管机构，这种应对方案显然存在重大缺陷。”

除了对微软披露泄密方式的批评外，这起事件还引发了对微软数据保留政策的质疑。通常，与持有这些数据的公司相比，多年前的数据对潜在犯罪分子的用处更大。在这种情况下，最好的方法通常是定期销毁数据。

• ·书记带人专家授课企业带岗，126万毕业生BOSS直聘寻秋招机遇
• ·航天员王亚平讲述神舟十三号乘组出舱活动：出舱，拥抱浩瀚太空
• ·北京冬残奥会遗产成果发布
• ·苹果仍在开发更大屏幕的iMac，配备M3系列芯片
• ·努力以高精尖产业壮大实体经济
• ·打新早报：劲旅环境今日申购，风险大于机会
• ·北京：标称“科顺”3款涂料、胶粘剂产品不合格
• ·*ST海伦起诉自家董事长 公章证照到底被谁控制成迷雾
• ·卡塔尔为何这么有钱？
• ·借助三维扫描、虚拟现实等技术实现圆明园数字化复原
• ·格力电器发声明：有不法分子冒充公司售后服务团队，存在乱收费等问题
• ·中信建投期货：7到8月生猪有出现周期性价格顶部的可能
• ·三部门部署加力振作工业经济
• ·美“独立日”枪击案嫌犯被捕，拜登：不放弃与枪支暴力作斗争
• ·广发资管任命蒋荣为副总经理、首席信息官
• ·澜湄合作第七次外长会联合新闻公报