微软修复暴露Azure云客户数据库的一个安全漏洞
摘要:
本周三,微软表示已完成对某个安全漏洞的修复工作。早在 2019 年 12 月,就已经曝出了泄露客户数据库的严重 bug 。庆幸的是,目前尚未发现有数据被恶意使用。官方博客的一篇文章写到:12 月 5 日,Azure 数据库安全规则中的一个错误配置,使得数百万客户的支持记录被暴露。
(题图 via Cnet)
在收到问题警报后,工程师于 12 月 31 日修复了该问题。尽管尚无数据被恶意使用的报告,但微软正在向客户透明地披露。
遗憾的是,配置错误是全行业内都相当常见的错误。我们有解决方案来防止这种错误,但却尚未为该数据库启用这些措施。
据我们了解,定期检查自己的配置、并确保启用所有可行的措施,将获得更加全面的防护。
至于存储在数据库中的大多数客户数据,其实已经剔除了个人信息。对于那些可能未编辑其信息的客户,该公司也将与之取得联系。
Comparitech 安全研究员 Bob Diachenko 指出:安全漏洞最初发现于 12 月 28 日,但在向微软发出警告后,该公司在两天后完成了修复。
对于此事,微软表示正在采取如下措施,以防止将来发生类似的意外:
(1)审核内部资源中已建立的网络安全规则。
(2)扩展检测安全规则配置错误的机制范围。
(3)当检测到配置错误时,向服务团队附加其它警报。
(4)实施其它可行的自动化修订。
