Microsoft ostrzega tysiące klientów w chmurze o ujawnionych bazach danych i ofertach e-mail

Satya Nadella, dyrektor generalny Microsoft Corp. , przemawiając na dorocznym zgromadzeniu udziałowców Microsoftu w Bellevue w stanie Waszyngton.

Jason Redmond | AFP | Obrazy Getty

Microsoft W czwartek tysiące klientów korzystających z chmury obliczeniowej, w tym niektóre z największych firm na świecie, ostrzegły, że hakerzy mogą mieć możliwość odczytywania, zmieniania, a nawet usuwania swoich głównych baz danych, zgodnie z transkrypcją wiadomości e-mail i badaczem cyberbezpieczeństwa.

Luka tkwi w wiodącej bazie danych Cosmos na platformie Microsoft Azure. Zespół badawczy z firmy Wiz zajmującej się bezpieczeństwem odkrył, że był w stanie uzyskać dostęp do kluczy kontrolujących dostęp do baz danych utrzymywanych przez tysiące firm. Amy Luttwak, dyrektor ds. technologii w Wiz, jest byłym dyrektorem ds. technologii w Cloud Security Group firmy Microsoft.

Ponieważ Microsoft nie może samodzielnie zmienić tych kluczy, w czwartek wysłał klientom wiadomość e-mail z informacją, aby utworzyli nowe klucze. Microsoft zgodził się zapłacić Wizowi 40 000 dolarów za znalezienie i zgłoszenie usterki, jak wynika z wiadomości e-mail wysłanej do Wiz.

Rzecznicy Microsoftu nie od razu skomentowali.

W e-mailu Microsoftu do klientów stwierdzono, że naprawił lukę i że nie ma dowodów na to, że luka została wykorzystana. Zgodnie z kopią wiadomości e-mail widzianej przez Reutersa: „Nie mamy żadnych wskazań, że podmioty zewnętrzne spoza Badacza (Wiz) mają dostęp do podstawowego klucza odczytu i zapisu”.

„To najgorsza luka w chmurze, jaką można sobie wyobrazić”, powiedział Luttwak Reuterowi. „To od dawna tajemnica”. „To jest centralna baza danych platformy Azure i mogliśmy uzyskać dostęp do dowolnej bazy danych klientów, jaką chcieliśmy”.

Luttwak powiedział, że zespół Luttwak odkrył problem, nazwany ChaosDB, 9 sierpnia i zgłosił go firmie Microsoft 12 sierpnia.

Rewelacja przychodzi po miesiącach złych wiadomości o bezpieczeństwie dla Microsoftu. Firma została zhakowana przez tego samego podejrzanego hakera rządu rosyjskiego, który przeniknął do SolarWinds, który ukradł kod źródłowy Microsoftu Tutaj.

READ  Kontrakty terminowe w USA niestabilne w związku z ostrożnością wobec Covid, Fed: Zamykanie rynków

Usterka w drukarce, która często kupowała komputery, musiała zostać naprawiona. Błąd poczty e-mail w Exchange w zeszłym tygodniu doprowadził do pilnego ostrzeżenia ze strony rządu USA Tutaj Klienci muszą zainstalować łatki wydane kilka miesięcy temu, ponieważ gangi ransomware wykorzystują je teraz.

Elise Haynes

„Analityk. Nieuleczalny nerd z bekonu. Przedsiębiorca. Oddany pisarz. Wielokrotnie nagradzany alkoholowy ninja. Subtelnie czarujący czytelnik.”

Dodaj komentarz

Twój adres e-mail nie zostanie opublikowany. Wymagane pola są oznaczone *

Back to top