微軟於本周三承認,由於服務器配置錯誤導致包括聯繫信息和電子郵件內容在內的未統計客戶數據泄露,黑客可能已經通過網絡訪問了這部分數據。微軟沒有透露數據可能在泄漏中暴露的公司數量或涉及的數據量的細節。
網絡安全供應商 SOCRadar 在一篇博文中表示,它已經向微軟報告了本次數據泄露事件,並預估有超過 65000 家客戶公司的數據受到影響。不過,微軟在自己的帖子中表示,SOCRadar“大大誇大了這個問題的範圍”。
報告稱本次服務器錯誤配置始於今年 9 月 24 日,此後受影響的服務器“迅速得到保護”。微軟表示,由於配置錯誤,某些“業務交易數據”可能無需身份驗證即可訪問。該公司在其帖子中表示,這些數據對應於“微軟與潛在客戶之間的互動”,包括圍繞微軟服務的規劃和實施。
微軟表示受影響的數據可能包括姓名、電子郵件地址、電子郵件內容、公司名稱和電話號碼,並且可能包括與客戶與微軟或微軟授權合作夥伴之間的業務相關的附件。
SOCRadar 表示,“一個配置錯誤的數據桶”導致分佈在全球 111 個國家和地區的超過 65000 家企業受到影響。據 SOCRadar 稱,此次泄露的數據量為 2.4 TB,包括 335,000 封電子郵件,涉及超過 50 萬用戶。供應商表示,這些文件的日期在 2017 年至 2022 年 8 月之間。
微軟對 SOCRadar 關於泄漏規模的說法提出異議,稱“對數據集的分析顯示重複信息,多次引用相同的電子郵件、項目和用戶”微軟在博文中表示:““我們非常重視這個問題,並對 SOCRadar 誇大了這個問題所涉及的數字感到失望,即使我們強調了他們的錯誤”。