Firma zajmująca się bezpieczeństwem odkryła problem, który umożliwił im dostęp do dużej ilości danych klientów usług w chmurze Microsoft Azure. Powiedziała, że jest to „najgorsza luka w chmurze, jaką można sobie wyobrazić”. Microsoft twierdzi, że nie jest świadomy, że luka w zabezpieczeniach została wykorzystana przez złośliwych cyberprzestępców.
Firma, która wykryła lukę, była w stanie uzyskać dostęp do baz danych i mieć możliwość nie tylko przeglądania zawartości, ale także zmiany i usuwania informacji z bazy danych Cosmos.
To był zespół badawczy z firmy Wiz zajmującej się bezpieczeństwem, który odkrył, że jest w stanie uzyskać dostęp do kluczy kontrolujących dostęp do baz danych tysięcy firm. Dyrektor ds. technologii Wiz, Ami Luttwak, jest byłym menedżerem w grupie bezpieczeństwa chmury Microsoftu, więc miał również przewagę, jeśli chodzi o odkrycie usterki.
Aby uzyskać dostęp do bazy danych Cosmos, najpierw firma zajmująca się bezpieczeństwem uzyskała dostęp do kluczy podstawowych bazy danych klientów. Należy pamiętać, że w 2019 roku Microsoft dodał do bazy danych Cosmos funkcję o nazwie Jupyter Notebook, która umożliwia klientom wizualizację swoich danych i tworzenie niestandardowych widoków. Funkcja została automatycznie włączona dla wszystkich baz danych Cosmos w lutym 2021 r.
Wiz przypomina nam, że niektóre firmy korzystające z tej bazy danych Cosmos to giganci, tacy jak Coca-Cola, Exxon-Mobil i Citrix, co można zobaczyć na oficjalnej stronie tej usługi.
Microsoft nie może zmienić tych klawiszy
Ponieważ Microsoft nie może sam zmienić tych kluczy, w czwartek wysłał do klientów wiadomość e-mail z prośbą o utworzenie nowych. Microsoft zgodził się zapłacić Wizowi 40 000 dolarów za znalezienie błędu i zgłoszenie go. Urzędnicy Microsoftu nie komentowali dalej problemu bezpieczeństwa.
W e-mailu, który Microsoft wysłał do Wiz, firma twierdzi, że naprawiła lukę i że nie ma dowodów na to, że błąd został wykorzystany. „Nie mamy żadnych wskazań, aby zewnętrzne podmioty spoza badacza (Wiz) miały dostęp do podstawowego klucza odczytu i zapisu” – czytamy w wiadomości.
„To najgorsza luka w chmurze, jaką możesz sobie wyobrazić. To długowieczna tajemnica” — mówi dyrektor ds. technologii Wiz, Ami Luttwak. „To jest centralna baza danych Azure i byliśmy w stanie uzyskać dostęp do dowolnej bazy danych klientów, którą chcieliśmy” – dodaje.