空白股权证明、护照扫描件，应有尽有。

位于开曼群岛的一家投资基金未能正确配置微软Azure blob存储，导致整个文件备份泄露于互联网上。

Azure blob相当于微软版的AWS S3存储桶，知晓此Azure blob存储URL的任何人，都可以读取该基金成员登记册，以及该基金与其投资人通信联系的详细情况。

在该基金同意进一步透露其事件响应过程后，媒体The Register没有曝光这家基金的名称，但指出：除了公开暴露出其股东身份、所持股份份额，以及这些股份的价值，该基金还将其网银PIN码的扫描件保存在了这个blob上。The Register审查了blob上的部分文件，证实了所有权和真实性。

图：任何人都在该基金的不安全Azure blob上查看其网银PIN码

此blob地址已被专用搜索引擎索引，一名多疑的信息安全消息人士在向The Register透露时嘲讽道：“都是钱啊都是钱，富人的世界里，钱一定是用来玩的。”

一开始接到The Register的通知时，这家不愿透露姓名的基金并没有马上真正进入事件响应进程，而是咨询了一名具有计算机科学学位的员工，问他此事是否值得关注。幸运的是，这名员工的看法与The Register试图提醒这家基金的相同。

图：该基金的成员（股东）登记册：开曼群岛的公司没有义务将此类文件上报给英国海外领土当局。（https://regmedia.co.uk/2020/11/30/fundregisterofmembers.jpg?x=648&y=254&infer_y=1）

他说：“我们用Azure备份我们的服务器，这不是我们的日常服务器：我们只是把它当做灾难恢复之类的备份。”

这名员工自称具有计算机科学硕士学位和很强的数学背景，并表示他的老板让他再去查一遍电子邮件，防止这事儿不仅仅是网络钓鱼。

图：敏感内部文件包括详细的银行对账单，Azure blob上的任何人都可以查看。（https://regmedia.co.uk/2020/11/30/fundbankstatementredacted.jpg）

这个不安全blob上暴露出来的文件可追溯到几年之前，包括：各位董事的护照扫描件、与投资人的信件往来（含商业谈判期间发送的带批注文件）、投资条款、股权证明（包括空白副本）、董事签署的文件等等。

这名有计算机科学背景的小伙子继续道：“这是我们在香港的IT供应商提供的备份解决方案，在我们看来就是相当正常的云供应。这里面明显存在一些安全问题！”

图：不仅扫描和上传了填写完整的股权证明，还有带有董事签名的空白副本。

他也补充称，泄露事件曝光后，基金的IT提供商已经将这些文件从Azure blob上删除，但他对IT提供商宣称微软无视了他们在周末提出的帮助请求一事表示怀疑。

从人员规模上看，该基金属于小企业，内部IT专业人员的数量与其他并不专注IT业务的小企业一样少。他们完全不关心Azure怎样操作，也没注意到任何人都可以通过Web浏览器访问自己的文件，而且似乎除了基本办公软件，其他任何IT事务都完全依赖他们的IT提供商。

图：该基金的一名董事扫描了每一页护照身份页。搜索引擎索引了这个副本，任何人都可以查看和复制。

该基金宣称管理着5亿美元的资金，投资人包括主权财富基金、主流金融机构、公司和家族理财室。其中一位投资人是著名投资银行罗斯柴尔德公司。尽管没有响应媒体的评论请求，但罗斯柴尔德确实将El Reg的请求发给了该基金，警示其注意自己的Azure事件。

相对于AWS S3存储桶安全问题，Azure blob错误配置的曝光度不算很高，但与亚马逊类似，微软也推出了存储安全检查工具。只不过，此类工具也得切实用起来才有效，不然就只是个摆设。

去年，英国一家自动车牌识别（ANPR）运营商就从不安全Azure blob泄露了数百万份监控图像，原因与这家基金类似，都是设置中未应用任何登录或身份验证控制措施。ANPR通常用图像识别软件检测普通监控摄像头拍下的照片。这个案例中，原始图像存储在公开位置，只要有浏览器，任何人都可以访问。

漏洞赏金运营商HackerOne的Aaron Zander评论道：“去年内，HackerOne平台为错误配置相关漏洞放出的赏金高达26万美元。”

不是安全问题频出的AWS，并不意味着就安全。

关键词：Azure；错误配置；数据泄露