Η Microsoft προειδοποίησε την Πέμπτη χιλιάδες πελάτες του cloud computing, στις οποίες συμπεριλαμβάνονται και μερικές από τις μεγαλύτερες εταιρείες στον κόσμο, ότι εισβολείς ενδέχεται να μπορούν να έχουν τη δυνατότητα να διαβάζουν, να αλλάζουν ή και να διαγράφουν τις κύριες βάσεις δεδομένων τους.
Αυτό αναφέρει σε δημοσίευμά του το Reuters επικαλούμενο αντίγραφο email ενός ερευνητή ασφάλειας στον κυβερνοχώρο.
Το θέμα ευπάθειας βρίσκεται στη ναυαρχίδα της βάσης δεδομένων Cosmos DB της Microsoft Azure. Μια ερευνητική ομάδα στην εταιρεία ασφαλείας Wiz ανακάλυψε ότι ήταν σε θέση να έχει πρόσβαση σε κλειδιά που ελέγχουν την πρόσβαση σε βάσεις δεδομένων που κατέχουν χιλιάδες εταιρείες.
Ο επικεφαλής της τεχνολογίας Wiz Ami Luttwak είναι πρώην επικεφαλής τεχνολογίας στην ομάδα Cloud Security Group της Microsoft. Επειδή η Microsoft δεν μπορεί να αλλάξει αυτά τα κλειδιά από μόνη της, έστειλε email στους πελάτες την Πέμπτη λέγοντάς τους να δημιουργήσουν νέα. Η Microsoft συμφώνησε να πληρώσει στη Wiz $ 40.000 για την εύρεση του ελαττώματος και την αναφορά του, σύμφωνα με ένα μήνυμα ηλεκτρονικού ταχυδρομείου που έστειλε στη Wiz.
«Διορθώσαμε αυτό το ζήτημα αμέσως για να διατηρήσουμε τους πελάτες μας ασφαλείς και προστατευμένους. Ευχαριστούμε τους ερευνητές ασφαλείας που εργάστηκαν υπό συντονισμένη αποκάλυψη ευπάθειας », δήλωσε η Microsoft στο Reuters.
Το ηλεκτρονικό ταχυδρομείο της Microsoft προς τους πελάτες ανέφερε ότι δεν υπήρχε καμία απόδειξη ότι το ελάττωμα έχει αξιοποιηθεί. “Δεν έχουμε καμία ένδειξη ότι εξωτερικές οντότητες εκτός του ερευνητή (Wiz) είχαν πρόσβαση στο κύριο κλειδί ανάγνωσης-εγγραφής”, ανέφερε το μήνυμα ηλεκτρονικού ταχυδρομείου. «Αυτή είναι η χειρότερη ευπάθεια στο cloud που μπορείτε να φανταστείτε. Είναι ένα μυστικό μεγάλης διάρκειας », δήλωσε ο Λούτβακ στο Reuters. “Αυτή είναι η κεντρική βάση δεδομένων του Azure και μπορέσαμε να αποκτήσουμε πρόσβαση σε οποιαδήποτε βάση δεδομένων πελατών θέλαμε.” Η ομάδα του Luttwak βρήκε το πρόβλημα, που ονομάστηκε ChaosDB, στις 9 Αυγούστου και ειδοποίησε τη Microsoft στις 12 Αυγούστου, είπε ο Luttwak. Το ελάττωμα ήταν σε ένα εργαλείο απεικόνισης που ονομάζεται Jupyter Notebook, το οποίο ήταν διαθέσιμο εδώ και χρόνια αλλά ήταν ενεργοποιημένο από προεπιλογή στο Cosmos από τον Φεβρουάριο. Αφού το Reuters ανέφερε για το ελάττωμα, η Wiz ανέλυσε το ζήτημα σε μια ανάρτηση της στο διαδίκτυο.
 (300 x 250 px).gif?rand=1656)
