Microsoft предупредила тысячи пользователей о компрометации облачных баз данных Azure

Microsoft предупредила тысячи пользователей своих облачных сервисов, что злоумышленники могут читать, изменять и даже удалять сохраненную информацию. Среди потенциальных жертв — транснациональные корпорации.

Microsoft предупредила тысячи пользователей о компрометации облачных баз данных Azure

reuters.com

Уязвимость была обнаружена во флагманской базе данных Cosmos DB самого популярного облачного сервиса Microsoft Azure. Специалистам компании по кибербезопасности Wiz удалось получить ключи для контроля доступа к базам данных тысяч компаний. Примечательно, что бывший технический директор Microsoft Cloud Security Group Ами Луттвак является одним из основателей и технического директора Wiz).

Поскольку Microsoft не может изменить ключи самостоятельно, она разослала уязвимым компаниям оповещения, призывая их создать новые, и Wiz получит 40 000 долларов (что не особенно много для такой компании) за обнаружение уязвимости.

По словам Microsoft, компания немедленно «вылечила» проблему, и нет никаких доказательств того, что кто-либо, кроме исследователей Wiz, пытался воспользоваться уязвимостью безопасности. По словам Латтвака, это худшая из возможных уязвимостей: исследователи могут получить доступ к данным любой компании в «центральной» базе данных Azure. По его словам, проблема под названием ChaosDB была обнаружена 9 августа, и компания сообщила об этом Microsoft 12 августа.

Источником проблемы был инструмент просмотра Jupyter Notebook, который был доступен уже много лет, но активирован по умолчанию только с февраля этого года. Латтвак также отметил, что ключи также следует менять для тех пользователей, которые не были предупреждены Microsoft — возможно, что их ключи также могут быть доступны. Microsoft заявляет, что уже предупредила всех, кто следит за ней.

Последняя уязвимость — лишь одна из многих проблем Microsoft за последние месяцы. Тем не менее, проблемы Azure вызывают особую озабоченность, поскольку Microsoft и сторонние эксперты настоятельно призывают компании перейти на «более безопасные» облачные сервисы, отказавшись от своей инфраструктуры хранения.

Источник

Добавить комментарий

Ваш адрес email не будет опубликован. Обязательные поля помечены *