Microsoft informuje o włamaniu do usługi chmury Azure: "najgorsze, co można sobie wyobrazić
Microsoft ostrzegł tysiące swoich klientów chmury Azure, w tym wiele firm z listy Fortune 500, o luce, która sprawiła, że ich dane były w pełni odsłonięte przez ostatnie dwa lata.
Dziura w kodzie Azure Cosmos DB Microsoftu spowodowała, że ponad 3300 klientów Azure jest narażonych na nieograniczony dostęp atakujących. Luka pojawiła się w 2019 roku, kiedy Microsoft dodał do Cosmos DB funkcję wizualizacji danych o nazwie Jupyter Notebook. Funkcja ta została domyślnie włączona dla wszystkich baz danych Cosmos w lutym 2021 roku.
Azure Cosmos DB lista klientów zawiera takie firmy jak Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens i inne.
"To najgorsza luka w chmurze, jaką można sobie wyobrazić", mówi Ami Luttwak, CTO of Wiz, firma zajmująca się bezpieczeństwem, która odkryła problem. "To centralna baza danych Azure, a my mogliśmy uzyskać dostęp do każdej bazy danych klientów, jaką chcieliśmy".
Pomimo powagi i ryzyka, Microsoft nie znalazł dowodów na to, że luka doprowadziła do nielegalnego dostępu do danych. "Nie ma dowodów na to, że ta technika została wykorzystana przez atakujących" - powiedział Microsoft w oświadczeniu przesłanym na adres przez Bloomberga. "Nie są nam znane żadne przypadki dostępu do danych klientów z powodu tej luki".
Jak podaje Reuters, Microsoft zapłacił Wizowi 40 tys. dolarów za odkrycie.
szczegółowy post na blogu Wiz mówi, że luka wprowadzona w Jupyter Notebook pozwoliła badaczom firmy na uzyskanie dostępu do kluczy głównych, które zabezpieczają bazy danych Cosmos DB dla klientów Microsoftu. Za pomocą tych kluczy Wiz uzyskał pełny dostęp do odczytu/zapisu/usunięcia danych kilku tysięcy klientów Microsoft Azure.