Microsoft avertizează mii de clienți cloud cu privire la bazele de date expuse (Reuters)

Microsoft (MSFT.O) a avertizat joi mii de clienți de cloud computing, inclusiv unele dintre cele mai mari companii din lume, că intrușii ar putea avea capacitatea de a citi, de a schimba sau chiar de a șterge bazele de date principale, potrivit Reuters.

Vulnerabilitatea se află în baza de date emblematică Cosmos DB a Microsoft Azure. O echipă de cercetători de la compania de securitate Wiz a descoperit că a putut accesa chei care controlează accesul la bazele de date deținute de mii de companii. Ami Luttwak, Chief Technology Officer la Wiz, este fost director tehnologic la Microsoft Cloud Cloud Group.

Deoarece Microsoft nu poate modifica acele chei de la sine, le-a trimis clienților joi e-mailuri, spunându-le să creeze altele noi. Microsoft a fost de acord să plătească Wiz 40.000 USD pentru găsirea defectului și raportarea acestuia, potrivit unui e-mail trimis către Wiz.

“Am remediat această problemă imediat pentru a ne menține clienții în siguranță și protejați”, a declarat Microsoft pentru Reuters.

E-mailul Microsoft către clienți a spus că nu există dovezi că defectul ar fi fost exploatat. „Nu avem nicio indicație că entitățile externe în afara companiei de securitate  (Wiz) au avut acces la cheia principală de citire-scriere”, se spunea în e-mail.

„Aceasta este cea mai gravă vulnerabilitate în cloud pe care o poți imagina. Este un secret de lungă durată”, a declarat Luttwak pentru Reuters. „Aceasta este baza de date centrală a Azure și am putut obține acces la orice bază de date de clienți dorită.”

Echipa lui Luttwak a găsit problema, denumită ChaosDB, pe 9 august și a notificat Microsoft 12 august, a spus Luttwak.

Defectul se afla într-un instrument de vizualizare numit Jupyter Notebook, care a fost disponibil de ani de zile, dar a fost activat implicit în Cosmos începând din februarie.

Potrivit Reuters, problemele cu Azure sunt deosebit de îngrijorătoare, deoarece Microsoft și experții externi în securitate au împins companiile să renunțe la majoritatea propriei infrastructuri și să se bazeze pe cloud pentru mai multă securitate.

Dar, deși atacurile cloud sunt mai rare, ele pot fi mai devastatoare atunci când apar. Mai mult, unele nu sunt niciodată mediatizate.

Un laborator de cercetare contractat la nivel federal urmărește toate defectele de securitate cunoscute în software și le evaluează în funcție de severitate. Dar nu există un sistem echivalent pentru găuri în arhitectura cloud, astfel încât multe vulnerabilități critice rămân nedezvăluite utilizatorilor, a spus Luttwak.