Satya Nadella, dyrektor generalny Microsoft Corp. , przemawiając na dorocznym zgromadzeniu udziałowców Microsoftu w Bellevue w stanie Waszyngton.
Jason Redmond | AFP | Obrazy Getty
Microsoft W czwartek tysiące klientów korzystających z chmury obliczeniowej, w tym niektóre z największych firm na świecie, ostrzegły, że hakerzy mogą mieć możliwość odczytywania, zmieniania, a nawet usuwania swoich głównych baz danych, zgodnie z transkrypcją wiadomości e-mail i badaczem cyberbezpieczeństwa.
Luka tkwi w wiodącej bazie danych Cosmos na platformie Microsoft Azure. Zespół badawczy z firmy Wiz zajmującej się bezpieczeństwem odkrył, że był w stanie uzyskać dostęp do kluczy kontrolujących dostęp do baz danych utrzymywanych przez tysiące firm. Amy Luttwak, dyrektor ds. technologii w Wiz, jest byłym dyrektorem ds. technologii w Cloud Security Group firmy Microsoft.
Ponieważ Microsoft nie może samodzielnie zmienić tych kluczy, w czwartek wysłał klientom wiadomość e-mail z informacją, aby utworzyli nowe klucze. Microsoft zgodził się zapłacić Wizowi 40 000 dolarów za znalezienie i zgłoszenie usterki, jak wynika z wiadomości e-mail wysłanej do Wiz.
Rzecznicy Microsoftu nie od razu skomentowali.
W e-mailu Microsoftu do klientów stwierdzono, że naprawił lukę i że nie ma dowodów na to, że luka została wykorzystana. Zgodnie z kopią wiadomości e-mail widzianej przez Reutersa: „Nie mamy żadnych wskazań, że podmioty zewnętrzne spoza Badacza (Wiz) mają dostęp do podstawowego klucza odczytu i zapisu”.
„To najgorsza luka w chmurze, jaką można sobie wyobrazić”, powiedział Luttwak Reuterowi. „To od dawna tajemnica”. „To jest centralna baza danych platformy Azure i mogliśmy uzyskać dostęp do dowolnej bazy danych klientów, jaką chcieliśmy”.
Luttwak powiedział, że zespół Luttwak odkrył problem, nazwany ChaosDB, 9 sierpnia i zgłosił go firmie Microsoft 12 sierpnia.
Rewelacja przychodzi po miesiącach złych wiadomości o bezpieczeństwie dla Microsoftu. Firma została zhakowana przez tego samego podejrzanego hakera rządu rosyjskiego, który przeniknął do SolarWinds, który ukradł kod źródłowy Microsoftu Tutaj.
Usterka w drukarce, która często kupowała komputery, musiała zostać naprawiona. Błąd poczty e-mail w Exchange w zeszłym tygodniu doprowadził do pilnego ostrzeżenia ze strony rządu USA Tutaj Klienci muszą zainstalować łatki wydane kilka miesięcy temu, ponieważ gangi ransomware wykorzystują je teraz.
„Analityk. Nieuleczalny nerd z bekonu. Przedsiębiorca. Oddany pisarz. Wielokrotnie nagradzany alkoholowy ninja. Subtelnie czarujący czytelnik.”
