Microsoft сообщила о взломе облачного сервиса Azure: "худшее, что можно себе представить"
Компания Microsoft предупредила тысячи своих клиентов облачных вычислений Azure, включая многие компании из списка Fortune 500, об уязвимости, из-за которой их данные были полностью открыты в течение последних двух лет.
Дефект в коде базы данных Azure Cosmos DB компании Microsoft оставил более 3300 клиентов Azure открытыми для полного неограниченного доступа злоумышленников. Уязвимость появилась в 2019 году, когда Microsoft добавила в Cosmos DB функцию визуализации данных под названием Jupyter Notebook. Функция была включена по умолчанию для всех баз данных Cosmos DB в феврале 2021 года.
Список клиентов Azure Cosmos DB включает такие компании, как Coca Cola, Liberty Mutual Insurance, ExxonMobil, Walgreens и другие.
"Это самая страшная уязвимость в облаке, которую только можно себе представить", - говорит Ами Люттвак, главный технический директор Wiz, компании по безопасности, которая обнаружила проблему. "Это центральная база данных Azure, и мы смогли получить доступ к любой базе данных клиентов, которую хотели".
Несмотря на серьезность и риск, Microsoft не нашла никаких доказательств того, что уязвимость привела к незаконному доступу к данным. "Нет никаких доказательств того, что эта техника использовалась злоумышленниками", - говорится в заявлении Microsoft, направленном по электронной почте в агентство Bloomberg. "Мы не знаем о случаях доступа к данным клиентов из-за этой уязвимости".
По данным Reuters, Microsoft заплатила Wiz 40000 долларов за открытие.
В подробном сообщении в блоге Wiz говорится, что уязвимость, внесенная в Jupyter Notebook, позволила исследователям компании получить доступ к первичным ключам, обеспечивающим безопасность баз данных Cosmos DB для клиентов Microsoft. С помощью этих ключей Wiz получил полный доступ на чтение/запись/удаление к данным нескольких тысяч клиентов Microsoft Azure.